Accueil Finances personnelles Comment minimiser les risques de sécurité Web pour éviter d'être piraté - nuls

Comment minimiser les risques de sécurité Web pour éviter d'être piraté - nuls

Table des matières:

Vidéo: 8 conseils pour réduire les risques de piratage informatique de votre entreprise 2024

Vidéo: 8 conseils pour réduire les risques de piratage informatique de votre entreprise 2024
Anonim

Garder vos applications Web en sécurité nécessite une vigilance constante dans vos efforts de piratage éthique et de la part de vos développeurs et fournisseurs Web. Tenez-vous au courant des dernières astuces, des outils de test et des techniques et faites savoir à vos développeurs et fournisseurs que la sécurité doit être une priorité pour votre organisation.

Vous pouvez acquérir une expérience pratique directe en testant et en piratant des applications Web en utilisant les ressources suivantes:

  • Projet webGoat OWASP

  • Outils Hacme de Foundstone

Sécurité de la sécurité par obscurité

Les formes suivantes de sécurité par obscurité - cacher quelque chose de la vue évidente en utilisant des méthodes triviales - peut aider à empêcher les attaques automatiques de vers ou de scripts codés en dur pour attaquer des types de scripts spécifiques ou des ports HTTP par défaut:

  • Pour protéger les applications Web et les bases de données associées, utilisez différentes machines pour exécuter chaque serveur Web, application et serveur de base de données.

    Les vulnérabilités de sécurité des systèmes d'exploitation de ces machines individuelles doivent être testées et renforcées en fonction des meilleures pratiques.

  • Utilisez les fonctions de sécurité intégrées du serveur Web pour gérer les contrôles d'accès et l'isolation des processus, tels que la fonction d'isolation des applications dans IIS. Cette pratique permet de s'assurer que si une application Web est attaquée, elle ne mettra pas nécessairement en danger d'autres applications s'exécutant sur le même serveur.

  • Utilisez un outil pour obscurcir l'identité de votre serveur Web - anonymiser essentiellement votre serveur. Un exemple est le ServerMask de Port 80 Software.

  • Si vous craignez que des attaques spécifiques à une plateforme soient menées contre votre application Web, vous pouvez faire croire à l'attaquant que le serveur Web ou le système d'exploitation est complètement différent. Voici quelques exemples:

    • Si vous utilisez un serveur et des applications Microsoft IIS, vous pouvez renommer tous vos scripts ASP pour en avoir un. extension cgi.

    • Si vous utilisez un serveur Web Linux, utilisez un programme tel que IP Personality (Personnalité IP) pour modifier l'empreinte du système d'exploitation afin que le système ait l'air d'exécuter autre chose.

  • Modifiez votre application Web pour qu'elle s'exécute sur un port non standard. Remplacez le port HTTP par défaut 80 ou le port HTTPS 443 par un numéro de port élevé, tel que 8877, et, si possible, configurez le serveur pour qu'il fonctionne en tant qu'utilisateur non privilégié - autrement dit, autre que system, administrator, root, etc. sur.

Jamais jamais ne compte sur l'obscurité seule; ce n'est pas infaillible. Un attaquant dédié pourrait déterminer que le système n'est pas ce qu'il prétend être.Pourtant, même avec les opposants, il peut être mieux que rien.

Mettre en place des pare-feu

Envisagez d'utiliser des contrôles supplémentaires pour protéger vos systèmes Web, notamment:

  • Un pare-feu réseau ou IPS capable de détecter et de bloquer les attaques contre les applications Web. Cela inclut les pare-feu commerciaux et les IPS de nouvelle génération disponibles auprès de sociétés telles que SonicWall, Check Point et Sourcefire.

  • Une application Web basée sur l'hôte IPS, telle que SecureIIS ou ServerDefender.

    Ces programmes peuvent détecter les applications Web et certaines attaques de base de données en temps réel et les couper avant qu'ils n'aient la moindre chance de causer des dommages.

Analyser le code source

Le développement de logiciels est l'endroit où les failles de sécurité commencent et devrait se terminer, mais rarement. Si vous êtes confiant dans vos efforts de piratage éthique à ce stade, vous pouvez creuser plus profondément pour trouver des failles de sécurité dans votre code source - des choses qui pourraient ne jamais être découvertes par les scanners traditionnels et les techniques de piratage. Ne crains pas!

C'est en fait beaucoup plus simple que ça en a l'air. Non, vous n'aurez pas à passer par le code ligne par ligne pour voir ce qui se passe. Vous n'avez même pas besoin d'expérience de développement (bien que cela aide).

Pour ce faire, vous pouvez utiliser un outil d'analyse de code source statique, tel que ceux proposés par Veracode et Checkmarx. CxSuite de Checkmarx (plus précisément CxDeveloper) est un outil autonome, à un prix raisonnable et très complet dans ses tests d'applications Web et d'applications mobiles.

Avec CxDeveloper, vous chargez simplement Enterprise Client, vous connectez à l'application (les informations d'identification par défaut sont admin @ cx / admin), exécutez l'assistant Create Scan pour pointer vers le code source et sélectionnez votre stratégie d'analyse, cliquez sur Suivant, cliquez sur Exécuter, et vous êtes en cours d'exécution.

Une fois l'analyse terminée, vous pouvez consulter les résultats et les solutions recommandées.

CxDeveloper est à peu près tout ce dont vous avez besoin pour analyser et signaler les vulnérabilités de votre code source C #, Java et mobile regroupées dans un seul paquet. Checkmarx, tout comme Veracode, propose également un service d'analyse de code source basé sur le cloud. Si vous pouvez surmonter tous les obstacles liés au téléchargement de votre code source vers un tiers, ceux-ci peuvent offrir une option plus efficace et surtout mains libres pour l'analyse du code source.

L'analyse du code source révèle souvent des failles différentes des tests de sécurité Web traditionnels. Si vous voulez le niveau de test le plus complet, faites les deux. Le niveau supplémentaire de contrôle offert par l'analyse des sources devient de plus en plus important avec les applications mobiles. Ces applications sont souvent pleines de failles de sécurité que beaucoup de développeurs de logiciels plus récents n'ont pas appris à l'école.

L'essentiel avec la sécurité Web est que si vous pouvez montrer à vos développeurs et analystes d'assurance qualité que la sécurité commence avec eux, vous pouvez vraiment faire une différence dans la sécurité globale de l'information de votre organisation.

Comment minimiser les risques de sécurité Web pour éviter d'être piraté - nuls

Le choix des éditeurs

Le choix des éditeurs

Comment télécharger les fichiers Joomla sur le serveur hôte d'un FAI - les nuls

Comment télécharger les fichiers Joomla sur le serveur hôte d'un FAI - les nuls

Médias sociaux

Après vous téléchargez et décompressez vos fichiers Joomla, vous les téléchargez sur votre FAI. Il y a beaucoup de FAI qui peuvent exécuter Joomla. Pour la plupart, tout fournisseur d'accès Internet qui vous donne accès à PHP et MySQL peut exécuter Joomla. Par exemple, Go Daddy répond à toutes les exigences minimales de Joomla. Configurer un compte ...

CMS joomla: Rendre les éléments de menu visibles uniquement aux utilisateurs connectés - dummies

CMS joomla: Rendre les éléments de menu visibles uniquement aux utilisateurs connectés - dummies

Médias sociaux

Dans Joomla, vous pouvez limiter les éléments de menu uniquement aux utilisateurs qui sont connectés (enregistrés). Si votre site Web contient du contenu que tout le monde peut voir et d'autres contenus qui devraient être réservés uniquement aux yeux autorisés, poursuivez et affinez les privilèges d'accès. Supposons que vous souhaitiez autoriser uniquement les utilisateurs connectés à accéder à ...

Extensions joomla pour améliorer la gestion de vos images et vidéos - mannequins

Extensions joomla pour améliorer la gestion de vos images et vidéos - mannequins

Médias sociaux

Joomla est une gestion de contenu Système (CMS). Cela signifie qu'il vous aide à gérer tout type de contenu - texte, image et vidéo. Voici quelques extensions pour Joomla qui peuvent accélérer votre gestion d'image et de vidéo dans Joomla. hwdVideoShare Pourquoi YouTube devrait-il être amusant? Avec hwdVideoShare vous pouvez ...

Le choix des éditeurs

Windows Utilitaires de dépannage pour les examens de certification A + - mannequins

Windows Utilitaires de dépannage pour les examens de certification A + - mannequins

Finances personnelles

En tant que professionnel certifié A + de différents problèmes sur le système - cette information décrit quelques-uns des utilitaires populaires que vous utiliserez pour prendre en charge ou dépanner un système. Assurez-vous de les connaître avant de passer l'examen A +! Nom de fichier Nom Description chkdsk. Exe Check Disk Vérifiez votre disque dur pour ...

Windows Fichiers de démarrage pour les examens de certification A + - Windows

Windows Fichiers de démarrage pour les examens de certification A + - Windows

Finances personnelles

Utilise quatre fichiers de démarrage, et vous aurez besoin une compréhension de tous les quatre pour l'examen A +. Les quatre fichiers de démarrage pour Windows sont les suivants: bootmgr: code du chargeur du système d'exploitation; similaire à ntldr dans les versions précédentes de Windows. Boot Configuration Database (BCD): Construit le menu de sélection du système d'exploitation et les ...

Réseau sans fil Pour les examens de certification A + - les mannequins

Réseau sans fil Pour les examens de certification A + - les mannequins

Finances personnelles

Réseau sans fil est un sujet sur lequel vous êtes sûr d'être testé en prenant l'examen A +. Vous êtes responsable de connaître les normes sans fil et les mesures de sécurité communes que vous devez prendre pour aider à sécuriser un réseau sans fil. Normes sans fil Norme Description 802. 11a Fonctionne à la gamme de fréquence de 5 GHz et a une vitesse ...

Le choix des éditeurs

Optimisation des choix de validation croisée dans l'apprentissage automatique - des mannequins

Optimisation des choix de validation croisée dans l'apprentissage automatique - des mannequins

Finances personnelles

Permettant de valider efficacement une hypothèse d'apprentissage automatique optimisation supplémentaire de votre algorithme choisi. L'algorithme fournit la plupart des performances prédictives sur vos données, étant donné sa capacité à détecter des signaux à partir de données et à s'adapter à la forme fonctionnelle réelle de la fonction prédictive sans surapprentissage et générant beaucoup de variance des estimations. Non ...

Nouvelle visualisation dans Predictive Analytics - mannequins

Nouvelle visualisation dans Predictive Analytics - mannequins

Finances personnelles

Une visualisation peut représenter une simulation (représentation graphique d'un scénario de simulation) ) en analyse prédictive. Vous pouvez suivre une visualisation d'une prédiction avec une simulation qui chevauche et prend en charge la prédiction. Par exemple, que se passe-t-il si l'entreprise arrête de fabriquer le produit D? Que se passe-t-il si une catastrophe naturelle frappe le bureau à domicile? ...

Prédictive Analytics: savoir quand mettre à jour votre modèle - nuls

Prédictive Analytics: savoir quand mettre à jour votre modèle - nuls

Finances personnelles

Autant que vous ne l'aimiez pas , votre travail d'analyse prédictive n'est pas terminé lorsque votre modèle est mis en ligne. Le déploiement réussi du modèle en production n'est pas le moment de se détendre. Vous devrez suivre de près sa précision et ses performances au fil du temps. Un modèle a tendance à se dégrader au fil du temps (certains plus rapidement que d'autres); et ...

Le choix des éditeurs

Le choix des éditeurs

Catégories populaires

© Copyright fr.blender3dtutorials.com, 2024 Novembre | À propos du site | Contacts | Politique de confidentialité.