Wiki mã bảo mật: Một web gồm các phương pháp hay về mã hóa an toàn

Linux Post Install

6 phút

Wiki mã bảo mật: Một web gồm các phương pháp hay về mã hóa an toàn

Wiki mã bảo mật: Một web gồm các phương pháp hay về mã hóa an toàn

Vì sự tiến bộ của Kiến thức và Giáo dụcKhoa học và Công nghệ Nói chung, việc thực hiện hành động tốt hơn và hiệu quả hơn, các biện pháp hoặc khuyến nghị (Thực hành tốt) để đạt được mục tiêu cuối cùng là, mang lại kết quả bất kỳ hoạt động hoặc quy trình nào.

lập trình o el Phát triển phần mềm Giống như bất kỳ hoạt động chuyên nghiệp và CNTT nào khác, nó có "Thực hành tốt" được liên kết với nhiều lĩnh vực, đặc biệt là những lĩnh vực liên quan đến An ninh mạng của các sản phẩm phần mềm được sản xuất. Và trong bài viết này, chúng tôi sẽ giới thiệu một số «Thực tiễn Mã hóa An toàn Tốt », từ một trang web thú vị và hữu ích có tên "Wiki mã bảo mật", rất nhiều về Nền tảng phát triển miễn phí và mở, riêng tư và đóng cửa.

Giấy phép phát triển Phần mềm miễn phí và mở: Các phương pháp hay

Giấy phép phát triển Phần mềm miễn phí và mở: Các phương pháp hay

Trước khi đi vào chủ đề, như thường lệ, chúng tôi sẽ để lại một số liên kết đến các ấn phẩm trước đây liên quan đến chủ đề «Thực tiễn tốt về lập trình hoặc phát triển phần mềm ».

"… Các thực hành tốt được hình thành và phổ biến bởi "Mã cho Sáng kiến ​​Phát triển" của Ngân hàng Phát triển Liên Mỹ, trên phạm vi Phần mềm cấp phép, điều này phải được thực hiện khi phát triển các sản phẩm phần mềm (công cụ kỹ thuật số), đặc biệt là miễn phí và mở." Giấy phép phát triển Phần mềm miễn phí và mở: Các phương pháp hay

Giấy phép phát triển Phần mềm miễn phí và mở: Các phương pháp hay
Bài viết liên quan:
Giấy phép phát triển Phần mềm miễn phí và mở: Các phương pháp hay
 Chất lượng kỹ thuật: Thực hành tốt trong việc phát triển Phần mềm miễn phí
Bài viết liên quan:
Chất lượng kỹ thuật: Thực hành tốt trong việc phát triển Phần mềm miễn phí
 Tài liệu: Các phương pháp hay để phát triển Phần mềm mở và miễn phí
Bài viết liên quan:
Các phương pháp hay để phát triển Phần mềm mở và miễn phí: Tài liệu

Wiki mã bảo mật: Các phương pháp mã hóa an toàn tốt

Wiki mã bảo mật: Các phương pháp mã hóa an toàn tốt

Wiki Mã Bảo mật là gì?

Như văn bản của nó nói nơi:

"Secure Code Wiki là đỉnh cao của các phương pháp mã hóa an toàn cho nhiều loại ngôn ngữ."

Và bạn là thực hành tốt và trang web của "Wiki mã bảo mật" đã được tạo ra và duy trì bởi một tổ chức của Ấn Độ có tên là Payatus.

Ví dụ về Thực tiễn tốt theo các loại Ngôn ngữ lập trình

Vì trang web bằng tiếng Anh, chúng tôi sẽ hiển thị một số ví dụ về mã hóa an toàn về nhiều ngôn ngữ lập trình, một số miễn phí và mở, và một số khác ở chế độ riêng tư và đóng cửa, do trang web nói trên cung cấp cho khám phá tiềm năng và chất lượng của nội dung nạp vào.

Ngoài ra, điều quan trọng là phải làm nổi bật rằng Thực hành tốt hiển thị trên Nền tảng phát triển tiếp theo:

  • NET.
  • Java
  • Java dành cho Android
  • Kotlin
  • NodeJS
  • Mục tiêu C
  • PHP
  • Python
  • hồng ngọc
  • Nhanh
  • WordPress

Chúng được chia thành các loại sau cho Ngôn ngữ Máy tính để bàn:

  • A1 - Tiêm (Mũi tiêm)
  • A2 - Xác thực bị hỏng (Xác thực bị hỏng)
  • A3 - Tiếp xúc với dữ liệu nhạy cảm (Phơi nhiễm dữ liệu nhạy cảm)
  • A4 - Các thực thể bên ngoài XML (Các thực thể bên ngoài XML / XXE)
  • A5 - Kiểm soát truy cập bị lỗi (Kiểm soát truy cập bị hỏng)
  • A6 - Giải mã bảo mật (Cấu hình sai bảo mật)
  • A7 - Tập lệnh trang web chéo (Tập lệnh chéo trang / XSS)
  • A8 - Giải quyết không an toàn (Hủy đăng ký không an toàn)
  • A9 - Sử dụng các thành phần có lỗ hổng đã biết (Sử dụng các thành phần có lỗ hổng đã biết)
  • A10 - Đăng ký và giám sát không đầy đủ (Ghi nhật ký & Giám sát không đầy đủ)

Và cũng được chia thành các loại sau cho Ngôn ngữ di động:

  • M1 - Sử dụng nền tảng không đúng cách (Sử dụng nền tảng không phù hợp)
  • M2 - Lưu trữ dữ liệu không an toàn (Lưu trữ dữ liệu không an toàn)
  • M3 - Giao tiếp không an toàn (Giao tiếp không an toàn)
  • M4 - Xác thực không an toàn (Xác thực không an toàn)
  • M5 - Mật mã không đủ (Mật mã không đủ)
  • M6 - Ủy quyền không an toàn (Ủy quyền không an toàn)
  • M7 - Chất lượng mã khách hàng (Chất lượng mã khách hàng)
  • M8 - Thao tác mã (Giả mạo mã)
  • M9 - Kỹ thuật đảo ngược (Kỹ thuật đảo ngược)
  • M10 - Chức năng kỳ lạ (Chức năng bên ngoài)

Ví dụ 1: .Net (A1- Injection)

Sử dụng trình ánh xạ quan hệ đối tượng (ORM) hoặc các thủ tục được lưu trữ là cách hiệu quả nhất để chống lại lỗ hổng SQL injection.

Ví dụ 2: Java (A2 - Xác thực bị hỏng)

Nếu có thể, hãy triển khai xác thực đa yếu tố để ngăn chặn tự động, nhồi nhét thông tin xác thực, vũ phu và sử dụng lại thông tin đăng nhập bị đánh cắp.

Ví dụ 3: Java dành cho Android (M3 - Giao tiếp không an toàn)

Bắt buộc phải áp dụng SSL / TLS cho các kênh truyền tải được ứng dụng di động sử dụng để truyền thông tin nhạy cảm, mã thông báo phiên hoặc dữ liệu nhạy cảm khác tới API phụ trợ hoặc dịch vụ web.

Ví dụ 4: Kotlin (M4 - Xác thực không an toàn)

Tránh các mẫu yếu

Ví dụ 5: NodeJS (A5 - Kiểm soát truy cập không hợp lệ)

Các kiểm soát truy cập của mô hình phải thực thi quyền sở hữu các bản ghi, thay vì cho phép người dùng tạo, đọc, cập nhật hoặc xóa bất kỳ bản ghi nào.

Ví dụ 6: Mục tiêu C (M6 - Ủy quyền không an toàn)

Các ứng dụng nên tránh sử dụng các số có thể đoán được làm tham chiếu nhận dạng.

Ví dụ 7: PHP (A7 - Cross Site Scripting)

Mã hóa tất cả các ký tự đặc biệt bằng cách sử dụng htmlspecialchars () hoặc htmlentities () [nếu nó nằm trong các thẻ html].

Ví dụ 8: Python (A8 - Giải mã không an toàn)

Mô-đun dưa chua và jsonpickle không an toàn, đừng bao giờ sử dụng nó để giải mã dữ liệu không đáng tin cậy.

Ví dụ 9: Python (A9 - Sử dụng các thành phần có lỗ hổng đã biết)

Chạy ứng dụng với người dùng ít đặc quyền nhất

Ví dụ 10: Swift (M10 - Chức năng lạ)

Loại bỏ chức năng cửa hậu ẩn hoặc các biện pháp kiểm soát bảo mật phát triển nội bộ khác không nhằm mục đích phát hành trong môi trường sản xuất.

Ví dụ 11: WordPress (Tắt XML-RPC)

XML-RPC là một tính năng của WordPress cho phép truyền dữ liệu giữa WordPress và các hệ thống khác. Ngày nay nó đã được thay thế phần lớn bởi API REST, nhưng nó vẫn được đưa vào các bản cài đặt để tương thích ngược. Nếu được kích hoạt trong WordPress, kẻ tấn công có thể thực hiện các cuộc tấn công brute force, pingback (SSRF), trong số các cuộc tấn công khác.

Hình ảnh chung cho kết luận bài viết

Kết luận

Chúng tôi hy vọng điều này "bài viết nhỏ hữu ích" về trang web được gọi là «Secure Code Wiki», cung cấp nội dung có giá trị liên quan đến «Thực tiễn Mã hóa An toàn Tốt »; rất quan tâm và tiện ích, cho toàn bộ «Comunidad de Software Libre y Código Abierto» và đóng góp to lớn vào việc truyền bá hệ sinh thái tuyệt vời, khổng lồ và đang phát triển của các ứng dụng «GNU/Linux».

Hiện tại, nếu bạn thích điều này publicación, Đừng dừng lại chia sẻ nó với những người khác, trên các trang web, kênh, nhóm hoặc cộng đồng mạng xã hội hoặc hệ thống nhắn tin yêu thích của bạn, tốt nhất là miễn phí, mở và / hoặc an toàn hơn như TelegramTín hiệuLoại voi lớn đa tuyệt chủng hoặc cái khác trong số Fediverse, tốt nhất là.

Và nhớ ghé thăm trang chủ của chúng tôi tại «DesdeLinux» để khám phá thêm tin tức, cũng như tham gia kênh chính thức của chúng tôi về Điện tín của DesdeLinuxTrong khi, để biết thêm thông tin, bạn có thể truy cập bất kỳ Thư viện trực tuyến như OpenLibra y jedit, để truy cập và đọc sách kỹ thuật số (PDF) về chủ đề này hoặc chủ đề khác.


Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.

  1.   luix dijo
    trước 3 năm

    Bài viết thú vị, nó nên là bắt buộc đối với mọi nhà phát triển ..

    Trả lời luix