Rate this post

Trong giai đoạn thiết kế ứng dụng web, chắc chắn bạn khó tránh khỏi những lỗ hổng bảo mật hoặc nguy cơ bị hacker tấn công. Nhằm bảo vệ và hạn chế sự tấn công, tốt nhất bạn nên xem những hướng dẫn dưới đây để tránh Ứng dụng tồn tại một trong 10 lỗ hổng nguy hiểm nhất trong ứng dụng web.

lo-hong-trong-ung-dung-web

1.Áp dụng đúng cơ chế xác nhận đầu vào theo tiêu chuẩn và chính sách của tổ chức.
2.Mã hóa những dữ liệu đầu ra cần thiết.
3.Xác định mã hóa đầu ra cụ thể (ví dụ ISO 8859-1 hoặc UTF8).
4.Không sử dụng xác nhận “danh sách đen” để phát hiện XSS ở đầu vào hoặc để mã hóa đầu ra.
5.Chú ý đến những sai lầm thường gặp trong code WebApp và những lỗ hổng thường gặp.
6.Sử dụng các API truy vấn thông số đánh máy mạnh mẽ.
7.Thực thi đặc quyền ít nhất.
8.Tránh các thông báo lỗi chi tiết.
9.Không sử dụng giao diện truy vấn động.
10.Không sử dụng chức năng thoát đơn giản.
11.Sử dụng một bản đồ tham chiếu lên đối tượng gián tiếp.
12.Sử dụng các cơ chế kiểm tra mờ rõ ràng.
13.Thêm các quy tắc tường lửa để ngăn các máy chủ web tạo kết nối mới với bên ngoài trang web và hệ thống nội bộ.
14.Kiểm tra các tập tin hoặc tên tập tin do người dùng cung cấp
15.Cân nhắc việc triển khai “chroot jail” vào ứng dụng web.
16.Tránh để lộ các tham chiếu đối tượng cá nhân tới người dùng bất cứ khi nào có thể.
17.Xác minh ủy quyền cho tất cả các đối tượng được tham chiếu.
18.Lắp các thẻ ngẫu nhiên tùy chỉnh vào mọi form và URL.
19.Đối với dữ liệu nhạy cảm hoặc các giao dịch có giá trị, xác nhận lại hoặc sử dụng giao dịch ký kết.
20.Không sử dụng hàm GET (URL) cho dữ liệu nhạy cảm hoặc để thực hiện các giá trị trong giao dịch.

Chi tiết bạn đọc có thể xem thêm tại:
http://www.owasp.org/index.php/OWASP_Top_Ten_Project

Bình luận