একটি চটপটে উন্নয়ন কেন্দ্রে নিরাপত্তা পরীক্ষার জন্য কি সর্বোত্তম পদ্ধতি আছে?

বোকা বিকাশ সম্পর্কিত, রিলিজ প্রতি নিরাপত্তা পরীক্ষার জন্য সর্বোত্তম পদ্ধতি কি?

যদি মাসিক রিলিজ হয়, তাহলে কি প্রতি মাসে কলম পরীক্ষা করা হয়?

0
ro fr hi

4 উত্তর

আমি চটপটে উন্নয়নের কোনও বিশেষজ্ঞ নই, কিন্তু আমি কল্পনা করতে চাই যে আপনার তৈরি চক্রের মধ্যে কিছু মৌলিক স্বয়ংক্রিয় কলম টেস্ট সফ্টওয়্যার সংহত করা একটি ভাল শুরু হবে। আমি সেখানে কয়েকটি সফটওয়্যার প্যাকেজ দেখেছি যা মৌলিক পরীক্ষা করবে এবং অটোমেশনের জন্য উপযুক্ত।

0
যোগ

আমি নিরাপত্তা বিশেষজ্ঞ নই, কিন্তু আমি মনে করি যে সর্বাধিক গুরুত্বপূর্ন বিষয় আপনাকে সচেতন হওয়া উচিত, নিরাপত্তা পরীক্ষা করার আগে, আপনি কি রক্ষা করার চেষ্টা করছেন। কেবলমাত্র আপনি যদি সুরক্ষিত করার চেষ্টা করছেন তবে আপনি যদি আপনার নিরাপত্তা ব্যবস্থা সঠিকভাবে বিশ্লেষণ করতে পারেন তবে কেবলমাত্র সেইগুলি প্রয়োগ করা পরিমাপের পরীক্ষাগুলি শুরু করতে পারেন।

খুব বিমূর্ত, আমি জানি যাইহোক, আমি মনে করি এটা প্রতিটি নিরাপত্তা নিরীক্ষা প্রথম ধাপ হওয়া উচিত।

0
যোগ
+1 ভাল রাখুন, @ ডেভিড। আমি am একটি নিরাপত্তা বিশেষজ্ঞ, এবং একরকম আমি তথাকথিত তথাকথিত "বিশেষজ্ঞ" দেখতে পাই যে এই মৌলিক নীতিটি না।
যোগ লেখক AviD, উৎস

Unit testing, Defense Programming and lots of logs

ইউনিট পরীক্ষা

নিশ্চিত করুন যে আপনি ইউনিট পরীক্ষাটি যত তাড়াতাড়ি সম্ভব (যেমন পাঠানোর আগে পাসওয়ার্ডটি এনক্রিপ্ট করা উচিত, এসএসএল টানেলটি কাজ করা ইত্যাদি)। এটি আপনার প্রোগ্রামারগুলিকে দুর্ঘটনাক্রমে প্রোগ্রামটি অসুরক্ষিত করা থেকে বিরত করবে।

প্রতিরক্ষা প্রোগ্রামিং

আমি ব্যক্তিগতভাবে এই প্যারানয়ড প্রোগ্রামিংটিকে কল করি কিন্তু উইকিপিডিয়া কখনোই ভুল হয় না ( কণ্ঠস্বর )। মূলত, আপনি আপনার ফাংশনগুলিতে পরীক্ষাগুলি যোগ করে যা সমস্ত ইনপুট পরীক্ষা করে:

  • ব্যবহারকারীর কুকিজ কি বৈধ? ​​
  • এখনো কি তিনি লগ ইন করেছেন?
  • কি এসকিউএল ইনজেকশন থেকে রক্ষা ফাংশন এর পরামিতি? (যদিও আপনি জানেন যে আপনার নিজের ফাংশন দ্বারা ইনপুট তৈরি করা হয়, আপনি যেকোনও পরীক্ষা করবেন)

এ লগিং

পাগল মত সবকিছু লগ আউট তাদের যোগ করার জন্য লগগুলি সরানোর জন্য সহজ। একটি ব্যবহারকারী লগ ইন করেছেন? এটা লগ ইন করুন। একটি ব্যবহারকারী একটি 404 পাওয়া? এটা লগ ইন করুন। অ্যাডমিন একটি পোস্ট মুছে ফেলা / মুছে ফেলা? এটা লগ ইন করুন। কেউ একজন সীমাবদ্ধ পৃষ্ঠা অ্যাক্সেস করতে পারবেন? এটা লগ ইন করুন।

আপনার ডেভেলপমেন্ট ফেজের সময় আপনার লগ ফাইলটি 15+ Mb পর্যন্ত পৌঁছায় তবে আশ্চর্য হবেন না। বিটা সময়, আপনি কোনও লগগুলি অপসারণ করতে পারেন তা স্থির করতে পারেন। আপনি যদি চান তবে একটি নির্দিষ্ট ইভেন্ট লগ হলে সিদ্ধান্ত নিতে একটি পতাকা যুক্ত করতে পারেন।

0
যোগ

আপনার আবেদন ডোমেন কি? এটা নির্ভর করে.

যেহেতু আপনি শব্দ "চটপটে" ব্যবহার করেছেন, আমি এটি একটি ওয়েব অ্যাপ্লিকেশন অনুমান করছি আমি আপনার জন্য একটি সহজ সহজ উত্তর আছে।

Burp Suite এর একটি কপি কিনুন (এটি # 1 Google এর "বার্প" ফলাফল - একটি নিশ্চিত সমর্থন!); আপনি যদি 99 নভেম্বর পর্যন্ত অপেক্ষা করেন তবে 99 ই ইউ, অথবা ~ 180 মার্কিন ডলার অথবা $ 98 মার্কিন ডলার খরচ করবেন।

Burp একটি ওয়েব প্রক্সি হিসাবে কাজ করে আপনি ফায়ারফক্স বা ই-মেইল ব্যবহার করে আপনার ওয়েব অ্যাপ ব্রাউজ করেন, এবং এটি আপনার তৈরি সমস্ত হিটস সংগ্রহ করে। এই হিটগুলি "ইনট্রাডার" নামে একটি বৈশিষ্ট্যকে খাওয়ায়, যা একটি ওয়েব ফাজ্জার। ইনট্রুমার আপনার সমস্ত ক্যোয়ারী হ্যান্ডলারগুলির জন্য প্রদত্ত সমস্ত প্যারামিটারগুলি সনাক্ত করবে। এটি তারপর প্রতিটি পরামিতি জন্য পাগল মান চেষ্টা করবে, এসকিউএল সহ, ফাইল সিস্টেম, এবং এইচটিএমএল metacharacters। একটি সাধারণ জটিল ফর্ম পোস্টে, এটি প্রায় 1500 হিট তৈরি করতে যাচ্ছে, যা আপনি ভীতিকর সনাক্ত করতে দেখতে পাবেন --- বা, আরো গুরুত্বপূর্ণ একটি চটপটে প্রসঙ্গে, নতুন --- ত্রুটি প্রতিক্রিয়া।

প্রতিটি রিলিজ পুনরাবৃত্তির সময় আপনার ওয়েব এ্যাপ্লিকেশনের প্রতিটি ক্যোয়ারী হ্যান্ডলারকে ফেজ করা হচ্ছে # 1 টি জিনিস যা আপনি আনুষ্ঠানিক "SDLC" স্থাপন এবং হেডকোটা যোগ না করে অ্যাপ্লিকেশন নিরাপত্তা উন্নত করতে পারেন। এর থেকেও, প্রধান ওয়েব অ্যাপ্লিকেশন নিরাপত্তা হট স্পটগুলির জন্য আপনার কোডটি পর্যালোচনা করুন:

  • শুধুমাত্র প্যারামিটারাইজড তৈরি এসকিউএল বিবৃতি ব্যবহার করুন; কেবলমাত্র স্ট্রাক্ট কনটেক্স করা এবং আপনার ডেটাবেস হ্যান্ডেলকে খাওয়ান না।

  • আপনি

    যে সমস্ত ইনপুট পরিচিত ভাল অক্ষরের একটি সাদা লিস্টে (মৌলিক যতিচিহ্ন alnum,) ফিল্টার, এবং, সবচেয়ে গুরুত্বপূর্ণভাবে, আপনার প্রশ্নের ফলাফল থেকে আউটপুট ফিল্টার ডেটা "সামলাবার" থেকে এইচটিএমএল সত্ত্বা থেকে এইচটিএমএল metacharacters (লে, & quot, জিটি, ইত্যাদি)। ?

  • আপনি
  • আপনি

    যে দীর্ঘ র্যান্ডম হার্ড টু অনুমান শনাক্তকারী ব্যবহার করি যে কোন জায়গায় আপনি বর্তমানে ক্যোয়ারী পরামিতি সহজ পূর্ণসংখ্যা সারি ID- র ব্যবহার করছেন, এবং নিশ্চিত ব্যবহারকারী এক্স করতে ব্যবহারকারী ওয়াই ডেটা দেখতে পারে না শুধু ঐ শনাক্তকারী মনন দ্বারা।

  • আপনি
  • একটি বৈধ, লগ-ইন অধিবেশন কুকি উপস্থাপিত হলেই সেগুলি কাজ করে তা নিশ্চিত করার জন্য আপনার অ্যাপ্লিকেশনের প্রতিটি প্রশ্নের হ্যান্ডলার পরীক্ষা করুন।

  • <�লি>

    আপনার ওয়েব স্ট্যাকের মধ্যে XSRF সুরক্ষা, যা আপনার সকল অনুষ্ঠিত ফর্ম লুকানো ফর্ম টোকেন পরামিতি উত্পন্ন করবে, দূষিত যে লিঙ্ক নিস্পাপ ব্যবহারকারীদের জন্য ফরম জমা দিতে হবে তৈরি করা থেকে আক্রমণকারীদের প্রতিরোধ চালু করুন।?

    </লি>
  • হ্যাশড পাসওয়ার্ড সংরক্ষণ করতে bcrypt --- এবং অন্য কিছুই --- ব্যবহার করুন।

0
যোগ