Quelles mesures peuvent être prises pour s'assurer qu'une application Web utilisant Hibernate, Spring et JSF est sécurisée? Quelles vulnérabilités peuvent exister et quel cadre de sécurité, le cas échéant, est standard?Sécurisation d'une application Web
Répondre
Un bon ensemble de pratiques notées par Joel Coehoorn et deux autres en répondant à une question similaire here:
- Il y a beaucoup à digérer, mais le guide de développement OWASP couvre la sécurité du site Web de haut en fond
- savoir sur l'injection SQL et comment empêcher
- entrée utilisateur ne faites jamais confiance (les cookies comptent comme entrée utilisateur trop!)
- Crypter Hash et le sel mots de passe plutôt que de les stocker en texte brut.
- Ne pas essayer de venir avec votre propre système d'authentification de fantaisie: il est tel une chose facile à obtenir - à tort subtiles et les moyens invérifiables et vous ne même le savoir jusqu'à ce que vous êtes piraté.
- Connaître les règles de traitement des cartes de crédit. Voir cette question ainsi:
- Payment Processors - What do I need to know if I want to accept credit cards on my website?
- SSL/HTTPS pour se connecter et toutes les pages où les données sensibles sont saisies (comme informations de carte de crédit)
- Comment résister session hijacking
- Évitez les scripts cross site (XSS)
- Évitez les falsifications de demande cross site (XSRF)
- garder votre système (s) à jour avec les derniers correctifs
- Assurez-vous que vos informations de connexion de base de données est sécurisée.
- Tenez-vous informé des dernières techniques d'attaque et des vulnérabilités qui affectent votre plateforme .
- Lire la sécurité du navigateur Google Manuel
sécurité n'est pas résolu en utilisant simplement un cadre. Cela demande beaucoup d'éducation, de compréhension, de créativité et d'évaluation des risques pour éviter de faire des erreurs.
Commencez par lire ces URL
- http://www.owasp.org/index.php/Hibernate-Guidelines
- http://www.owasp.org/index.php/Java_Server_Faces
- http://www.owasp.org/index.php/OWASP_Java_Table_of_Contents
Et sans aucun doute à la vitesse sur les principaux types de vulnérabilités, etc. Une introduction à la sécurité , y compris l'article "no silver bullet".
- http://www.owasp.org/index.php/Getting_Started
- http://www.owasp.org/index.php/OWASP_Top_Ten_Project énumère les dix menaces de sécurité
Je suis d'accord avec les autres réponses à qu'il n'y a pas de solution miracle pour cadre de sécurité ou simple, vous branchez juste et tada, vous 're sécurité activée. Consultez le site OWASP qui est une excellente ressource pour en apprendre davantage sur la sécurité. En outre, le fait de bien comprendre la sécurité vous-même (plutôt que de déléguer la sécurité aux frameworks) rendra votre application plus sûre. Par exemple, JSF empêche la plupart (sinon toutes?) Les attaques de type XSS par défaut, mais vous pouvez surcharger cette fonctionnalité, probablement sans réaliser les implications de sécurité et soudainement votre code JSF est exposé.
Puisque personne ne l'a mentionné, l'analyse de code statique peut aider. Découvrez des choses telles que Findbugs, PMD, et checkstyle entre autres pour l'analyse de code de base et gratuit. Ou optez pour quelque chose de plus lourd comme Fortify qui est conçu spécifiquement pour détecter les vulnérabilités de sécurité dans votre application.
- 1. Sécurisation d'un service Web
- 2. Sécurisation d'une application serveur
- 3. Sécurisation du service Web ASP.NET
- 4. Sécurisation de l'application web iphone +
- 5. Principes de base pour la sécurisation d'une application web?
- 6. Sécurisation de certaines parties d'une application
- 7. Sécurisation de l'approche des services Web valide?
- 8. Sécurisation des services Web WCF via SSL
- 9. Sécurisation d'une application ASP.Net à l'aide de niveaux multi-matériels
- 10. Sécurisation de la connexion unique à l'application Web
- 11. Sécurisation d'un service Web pour utilisation à partir d'une application iPhone personnalisée uniquement
- 12. Sécurisation d'un service Web à utiliser dans les appareils mobiles
- 13. Sécurisation d'un service Web exécuté sur App Engine
- 14. Sécurisation des annonces tierces
- 15. Sécurisation des jambes de force Application en action Niveau
- 16. Sécurisation d'un service Web avec l'authentification par formulaire
- 17. Sécurisation des flux RSS Elmah sur le site Web ASP.NET
- 18. Sécurisation de REST et JSON
- 19. Sécurisation d'une configuration lighttpd partagée
- 20. Sécurisation des assemblages .net
- 21. Sécurisation du fichier ELMAH
- 22. Sécurisation des appels ajax
- 23. vidéo Sécurisation encastré
- 24. Sécurisation d'un site ASP.Net MVC
- 25. Sécurisation des abonnements webcal avec https
- 26. Sécurisation d'un service WCF pour qu'il ne puisse être appelé que par une application Silverlight
- 27. Sécurisation des téléchargements d'images anonymes
- 28. Sécurisation des appels jquery ajax
- 29. Sécurisation des services Web asp.net à utiliser à partir du flash
- 30. Sécurisation des services Web .net pour les applications flex/flash/AIR
Ceci n'a rien à voir avec la question. – rook
@TheRook: Merci de m'avoir signalé; c'était lié quand la question était inédite. –