Quelles mesures peuvent être prises pour s'assurer qu'une application Web utilisant Hibernate, Spring et JSF est sécurisée? Quelles vulnérabilités peuvent exister et quel cadre de sécurité, le cas échéant, est standard?Sécurisation d'une application Web
Un bon ensemble de pratiques notées par Joel Coehoorn et deux autres en répondant à une question similaire here:
- Il y a beaucoup à digérer, mais le guide de développement OWASP couvre la sécurité du site Web de haut en fond
- savoir sur l'injection SQL et comment empêcher
- entrée utilisateur ne faites jamais confiance (les cookies comptent comme entrée utilisateur trop!)
- Crypter Hash et le sel mots de passe plutôt que de les stocker en texte brut.
- Ne pas essayer de venir avec votre propre système d'authentification de fantaisie: il est tel une chose facile à obtenir - à tort subtiles et les moyens invérifiables et vous ne même le savoir jusqu'à ce que vous êtes piraté.
- Connaître les règles de traitement des cartes de crédit. Voir cette question ainsi:
- Payment Processors - What do I need to know if I want to accept credit cards on my website?
- SSL/HTTPS pour se connecter et toutes les pages où les données sensibles sont saisies (comme informations de carte de crédit)
- Comment résister session hijacking
- Évitez les scripts cross site (XSS)
- Évitez les falsifications de demande cross site (XSRF)
- garder votre système (s) à jour avec les derniers correctifs
- Assurez-vous que vos informations de connexion de base de données est sécurisée.
- Tenez-vous informé des dernières techniques d'attaque et des vulnérabilités qui affectent votre plateforme .
- Lire la sécurité du navigateur Google Manuel
sécurité n'est pas résolu en utilisant simplement un cadre. Cela demande beaucoup d'éducation, de compréhension, de créativité et d'évaluation des risques pour éviter de faire des erreurs.
Commencez par lire ces URL
Et sans aucun doute à la vitesse sur les principaux types de vulnérabilités, etc. Une introduction à la sécurité , y compris l'article "no silver bullet".
Je suis d'accord avec les autres réponses à qu'il n'y a pas de solution miracle pour cadre de sécurité ou simple, vous branchez juste et tada, vous 're sécurité activée. Consultez le site OWASP qui est une excellente ressource pour en apprendre davantage sur la sécurité. En outre, le fait de bien comprendre la sécurité vous-même (plutôt que de déléguer la sécurité aux frameworks) rendra votre application plus sûre. Par exemple, JSF empêche la plupart (sinon toutes?) Les attaques de type XSS par défaut, mais vous pouvez surcharger cette fonctionnalité, probablement sans réaliser les implications de sécurité et soudainement votre code JSF est exposé.
Puisque personne ne l'a mentionné, l'analyse de code statique peut aider. Découvrez des choses telles que Findbugs, PMD, et checkstyle entre autres pour l'analyse de code de base et gratuit. Ou optez pour quelque chose de plus lourd comme Fortify qui est conçu spécifiquement pour détecter les vulnérabilités de sécurité dans votre application.
Ceci n'a rien à voir avec la question. – rook
@TheRook: Merci de m'avoir signalé; c'était lié quand la question était inédite. –