为了进步 知识与教育和 科学和技术 总的来说,实施该解决方案一直是最重要的。 更好,更有效的行动,措施或建议 (良好做法) 为了达到最终目的, 实现 任何活动或过程。
和 程序设计 ØEL 软件开发 像其他任何专业和IT活动一样,它也有自己的 “良好做法” 与许多领域相关,尤其是与 网络安全 生产的软件产品。 在这篇文章中,我们将介绍一些 «良好的安全编码做法»,来自一个有趣且有用的网站,名为 “安全代码维基”,关于 开发平台 自由和开放,私人和封闭。
像往常一样,在进入本主题之前,我们将在后面留下一些指向以前与该主题相关的出版物的链接。 «编程或软件开发的良好实践».
“……由 “发展守则倡议= 美洲开发银行 许可软件,这在开发软件产品(数字工具)时必须采取,尤其是自由和开放的方式。= 开发自由和开放软件的许可证:良好做法
安全代码Wiki:良好的安全编码做法
什么是安全代码维基?
如其文字所示 现场:
“安全代码Wiki是各种语言的安全编码实践的结晶。=
你是 良好做法 和的网站 “安全代码维基” 由一个名为“印度”的组织创建和维护 帕亚图.
编程语言类型的良好做法示例
由于该网站为英文,因此我们将向您展示一些 安全编码示例 关于各种 编程语言,由上述网站提供给一些免费和开放,而另一些则私有和封闭 探索内容的潜力和质量 已加载。
此外,重要的是要强调 最佳实践 显示在 开发平台 以下:
- 。NET
- 爪哇岛
- 适用于Android的Java
- 科特林
- 的NodeJS
- 目标C
- PHP
- 蟒蛇
- 红宝石
- 斯威夫特
- WordPress
它们分为以下几种桌面语言类别:
- A1-注射 (注射)
- A2-身份验证失败 (身份验证失败)
- A3-暴露敏感数据 (敏感数据公开)
- A4-XML外部实体 (XML外部实体/ XXE)
- A5-访问控制错误 (损坏的访问控制)
- A6-安全解除配置 (安全性配置错误)
- A7-跨站点脚本 (跨站点脚本/ XSS)
- A8-不安全的反序列化 (不安全的反序列化)
- A9-使用具有已知漏洞的组件 (使用已知漏洞的组件)
- A10-注册和监管不足 (日志和监控不足)
并且还分为以下几种移动语言类别:
- M1-平台使用不当 (平台使用不当)
- M2-不安全的数据存储 (不安全的数据存储)
- M3-通信不安全 (通信不安全)
- M4-不安全的身份验证 (不安全的身份验证)
- M5-密码不足 (密码学不足)
- M6-不安全的授权 (不安全的授权)
- M7-客户代码质量 (客户代码质量)
- M8-代码操作 (代码篡改)
- M9-逆向工程 (逆向工程)
- M10-奇怪的功能 (外部功能)
示例1:.Net(A1注入)
使用对象关系映射器(ORM)或存储过程是解决SQL注入漏洞的最有效方法。
示例2:Java(A2-身份验证已损坏)
在可能的情况下,请实施多因素身份验证,以防止自动进行凭据填充,暴力破解和重新使用被盗凭据。
示例3:Java for Android(M3-不安全的通信)
必须将SSL / TLS应用于移动应用程序用来将敏感信息,会话令牌或其他敏感数据传输到后端API或Web服务的传输通道。
示例4:Kotlin(M4-不安全身份验证)
避免弱势模式
示例5:NodeJS(A5-错误的访问控制)
模型的访问控制应强制执行记录的所有权,而不是允许用户创建,读取,更新或删除任何记录。
示例6:目标C(M6-授权不安全)
应用程序应避免使用可猜测的数字作为识别参考。
示例7:PHP(A7-跨站点脚本)
使用htmlspecialchars()或htmlentities()编码所有特殊字符(如果它在html标记内)。
示例8:Python(A8-不安全的反序列化)
pickle和jsonpickle模块不安全,切勿使用它反序列化不受信任的数据。
示例9:Python(A9-使用具有已知漏洞的组件)
以特权最少的用户运行应用程序
示例10:Swift(M10-奇怪的功能)
删除不打算在生产环境中发布的隐藏的后门功能或其他内部开发安全控件。
示例11:WordPress(禁用XML-RPC)
XML-RPC是WordPress的一项功能,可实现WordPress与其他系统之间的数据传输。 今天,它已在很大程度上被REST API取代,但为了向后兼容,它仍包含在安装中。 如果在WordPress中启用,则攻击者可以执行蛮力,pingback(SSRF)攻击等。
结论
我们希望这个 “有用的小贴子= 关于这个网站 «Secure Code Wiki»
, 提供与以下内容有关的有价值的内容 «良好的安全编码做法»; 在整个过程中都引起极大的兴趣和实用性 «Comunidad de Software Libre y Código Abierto»
并极大地促进了应用程序的精彩,庞大和不断发展的生态系统的传播 «GNU/Linux»
.
现在,如果你喜欢这个 publicación
, 不要停 分享 与其他人一起,在您喜欢的网站,频道,社交网络或消息传递系统的组或社区上使用,优选免费,开放和/或更加安全 Telegram, 信号, 乳齿象 或另一个 兽人,最好。
并记住访问我们的主页,网址为 «DesdeLinux» 探索更多新闻,以及加入我们的官方频道 电报 DesdeLinux. 同时,有关更多信息,您可以访问 在线图书馆 如 OpenLibra y 杰迪, 访问和阅读有关此主题或其他主题的数字书籍(PDF)。
有趣的文章,应该对每个开发人员都是必需的..