為了進步 知識與教育,和 科學和技術 一般而言,實施 更好,更有效的行動,措施或建議 (良好做法) 為了達到最終目的, 實現 任何活動或過程。
和 電子商務購物網站架設 或 軟件開發 像其他任何專業和IT活動一樣,它也有自己的活動 “良好做法” 與許多領域相關,尤其是與 網絡安全 生產的軟件產品。 在這篇文章中,我們將介紹一些 «良好的安全編碼做法»,來自一個有趣且有用的網站,名為 “安全代碼維基”,關於 開發平台 自由和開放,私人和封閉。
像往常一樣,在進入本主題之前,我們將在後面留下一些與以前有關該主題的出版物的鏈接。 «編程或軟件開發的良好實踐».
“……由 “發展守則倡議“ 美洲開發銀行 許可軟件,這在開發軟件產品(數字工具)時必須採取,尤其是自由和開放的方式。“ 開發自由和開放軟件的許可證:良好做法
安全代碼Wiki:良好的安全編碼做法
什麼是安全代碼Wiki?
就像它一樣 現場:
“安全代碼Wiki是各種語言的安全編碼實踐的結晶。“
你是 良好做法 和的網站 “安全代碼維基” 由一個名為“印度”的組織創建和維護 帕亞圖.
編程語言類型的良好做法示例
由於該網站為英文,因此我們將向您展示一些 安全編碼示例 關於各種 編程語言,由上述網站提供,其中一些是免費和開放的,而另一些是私有和封閉的 探索內容的潛力和質量 已加載。
此外,重要的是要強調 良好做法 顯示在 開發平台 以下:
- 。NET
- Java的
- 適用於Android的Java
- 科特林
- 的NodeJS
- 目標C
- PHP
- 蟒蛇
- 紅寶石
- 迅速
- WordPress
它們分為以下幾種桌面語言:
- A1-注射 (注射)
- A2-身份驗證失敗 (身份驗證失敗)
- A3-暴露敏感數據 (敏感數據公開)
- A4-XML外部實體 (XML外部實體/ XXE)
- A5-訪問控制錯誤 (損壞的訪問控制)
- A6-安全解除配置 (安全性配置錯誤)
- A7-跨站點腳本 (跨站點腳本/ XSS)
- A8-不安全的反序列化 (不安全的反序列化)
- A9-使用具有已知漏洞的組件 (使用已知漏洞的組件)
- A10-註冊和監管不足 (日誌和監控不足)
並且還分為以下幾種移動語言類別:
- M1-平台使用不當 (平台使用不當)
- M2-不安全的數據存儲 (不安全的數據存儲)
- M3-通信不安全 (通信不安全)
- M4-不安全的身份驗證 (不安全的身份驗證)
- M5-密碼不足 (密碼學不足)
- M6-不安全的授權 (不安全的授權)
- M7-客戶代碼質量 (客戶代碼質量)
- M8-代碼操作 (代碼篡改)
- M9-逆向工程 (逆向工程)
- M10-奇怪的功能 (外部功能)
示例1:.Net(A1注入)
使用對象關係映射器(ORM)或存儲過程是解決SQL注入漏洞的最有效方法。
示例2:Java(A2-身份驗證已損壞)
盡可能實施多因素身份驗證,以防止對憑據被竊取進行自動的憑據填充,暴力破解和重用攻擊。
示例3:Java for Android(M3-不安全通信)
必須將SSL / TLS應用於移動應用程序用來將敏感信息,會話令牌或其他敏感數據傳輸到後端API或Web服務的傳輸通道。
示例4:Kotlin(M4-不安全身份驗證)
避免弱勢模式
示例5:NodeJS(A5-錯誤的訪問控制)
模型的訪問控制應強制執行記錄的所有權,而不是允許用戶創建,讀取,更新或刪除任何記錄。
示例6:目標C(M6-授權不安全)
應用程序應避免使用可猜測的數字作為識別參考。
示例7:PHP(A7-跨站點腳本)
使用htmlspecialchars()或htmlentities()編碼所有特殊字符(如果它在html標記內)。
示例8:Python(A8-不安全的反序列化)
pickle和jsonpickle模塊不安全,切勿使用它反序列化不受信任的數據。
示例9:Python(A9-使用具有已知漏洞的組件)
以特權最少的用戶運行應用程序
示例10:Swift(M10-奇怪的功能)
刪除不打算在生產環境中發布的隱藏的後門功能或其他內部開發安全控件。
示例11:WordPress(禁用XML-RPC)
XML-RPC是WordPress的一項功能,它允許WordPress與其他系統之間進行數據傳輸。 如今,它已在很大程度上被REST API取代,但是為了向後兼容,它仍包含在安裝中。 如果在WordPress中啟用,則攻擊者可以執行蠻力,pingback(SSRF)攻擊等。
結論
我們希望這個 “有用的小貼子“ 關於這個網站 «Secure Code Wiki»
, 提供與以下內容有關的有價值的內容 «良好的安全編碼做法»; 在整個過程中都引起極大的興趣和實用性 «Comunidad de Software Libre y Código Abierto»
並極大地促進了應用程序的精彩,龐大和不斷發展的生態系統的傳播 «GNU/Linux»
.
現在,如果你喜歡這個 publicación
, 不要停 分享 與他人一起,在您喜歡的網站,頻道,社交網絡或消息傳遞系統的組或社區上,最好是免費的,開放的和/或更安全的 Telegram, Signal, 乳齒象 或另一個 獸人,最好。
並記住訪問我們的主頁,網址為 «DesdeLinux» 探索更多新聞,以及加入我們的官方頻道 電報 DesdeLinux. 同時,有關更多信息,您可以訪問 在線圖書館 如 OpenLibra y 傑迪, 訪問和閱讀有關此主題或其他主題的數字書籍(PDF)。
有趣的文章,對每個開發人員來說都是強制性的。