TUTORIAL: Desarrollo Web y Diseño Información general sobre seguridad

Introducción

Saber cómo piensa el atacante, lo que las tácticas que emplean, es su primera defensa contra ellas.

Este tutorial no es más que una introducción a la próxima serie de tutoriales. Información general se presenta aquí, junto con algunas referencias para su propia información. También acojo con satisfacción cualquier y todas las sugerencias y observaciones en cuanto a las cuestiones de seguridad que deben cubrir en el futuro tutoriales. Puedo decir que es un área de gran preocupación por la cantidad de anuncios que ya están en el sitio Web de Seguridad foro.

Esta serie de tutoriales de Seguridad se ocupará de la Web de los diseñadores de vista. El desarrollo de las "Ojo con la seguridad" como una parte inherente de la web de diseño / proceso de desarrollo debe ser el objetivo de todos los diseñadores si son nuevos o han estado en que por un tiempo. Habiendo esta concienciación sobre la seguridad y la capacidad de inteligencia, transmitirá esa información a sus clientes hará que sus servicios mucho más valiosa y más buscados por los clientes potenciales.

Fases de ataque

La mayoría de los atacantes tratan de obtener acceso a su red de clientes seguirá un enfoque metódico que impliquen una serie de pasos. Tenga en cuenta que hay un montón de problemas de seguridad que no están dedicados a un único atacante, pero son de virus, gusanos, malware, y los diversos vectores de ataque automatizado. Estas iniciativas serán objeto de sus propios tutoriales.

Permite referirse a las fases de un ataque para obtener acceso a una red. Las 5 etapas de la penetración de la red:

1. De reconocimiento (la información pública, la investigación, el desarrollo de un perfil único de la meta)
2. Exploración (un paso más a lo largo de la ruta de recogida de información)
3. Acceso (comienza el ataque, utilizando las vulnerabilidades anteriormente mencionadas)
4. Mantener el acceso (asegurándose de que el sistema siga siendo accesible )
5. Temas que abarca (asegurarse de que nadie sabe)

Un atacante dedicado con nada pero el tiempo en sus manos y un montón de material en línea puede romper y explotar en prácticamente cualquier sistema. Como diseñadores y desarrolladores de la seguridad que podemos hacer una parte de nuestro proceso, nosotros mismos y mantener informado a nuestros clientes.

Tutorial de Temas

Tutoriales futuro se ocupará de las dos primeras etapas en lo que se refiere a la web del diseñador / desarrollador web específico basado vectores de ataque, las vulnerabilidades de seguridad Web actual y, por supuesto, temas sugeridos por los miembros. Los siguientes son los temas que actualmente tienen en mente.

Tutorial Tema: Footprinting (Este tutorial se refieren a aspectos relativos a la información pública disponible, la forma de añadir una capa de la ofuscación, y la forma de utilizar esta información para proporcionar una capa de defensa para sus clientes por utilizar esta información como un primer aviso a los posibles ataques.)

Las dos primeras fases, a menudo denominado "Footprinting", puede tomar más tiempo. "Footprinting" es un reconocimiento sistemático y metódico de un objetivo de obtener un perfil lo más completo posible de la organización, incluidos los posibles vectores de ataque. Aquí es donde el atacante utilizará diversas herramientas para recopilar información sobre la víctima. Fugas de información es la clave aquí. Cuando el desarrollo de un sitio debe tener en cuenta qué tipo de información sobre el objetivo puede ser obtenido de la apertura y los medios legales. Algunos de esto será responsabilidad de los desarrolladores y algunos serán los clientes. Aquí está tu oportunidad para guiar a sus clientes la toma de decisiones y mostrar tus conocimientos de seguridad.


Tutorial Tema: Plataforma Web de ataques específicos (Este tutorial cubrirá algunos servidor web específica de la plataforma de ataque. )

Aunque esto no es necesario la responsabilidad del diseñador web / programador, más la responsabilidad del administrador del sistema, el conocimiento de estos vectores de ataque le permitirá informar adecuadamente a sus clientes y ampliar su base de conocimientos de seguridad.


Tutorial Tema: HTML Vulnerabilidades (Esto abarcará una amplia gama de ataques relacionados con el HTML. )

Del lado del servidor solicitudes, servidor web, en general, las interacciones, HTML y vectores de ataque se tratarán en este tutorial. Una de las principales áreas de relieve en este tutorial se validación. Información procedente del servidor, información conocida, no necesita ser validado. información procedente de otros lugares no. Formulario de solicitud de información y validación es fundamental cuando la codificación en HTML puro. Desbordamiento de búfer, la ejecución remota de código, entre otros, serán cubiertos aquí.


Tutorial Tema: Vulnerabilidades de PHP (Esto abarcará varios ataques relacionados con PHP.)

De la respuesta hasta la fecha en el sitio Web de Seguridad de foro creo que esto será un tema candente y ramifican en varios sub temas y tutoriales. Algunas de las cuestiones de la misma HTML tutorial serán cubiertos en lo que respecta a PHP, así como las vulnerabilidades específicas de PHP.


Tutorial Tema: Inyección de SQL (Dado que este es un vector de ataque común este recibirá su propio tutorial.)

Cuando el desarrollo de un sitio web con conectividad de bases de datos adicionales de atención debe hacerse en el proceso de codificación. Que está creando un enlace directo a la base de datos de clientes y, como tal, puede crear fácilmente explotables y vector de ataque. Algunos errores comunes y los errores de codificación será cubierto aquí junto con muchas sugerencias sobre la forma de evitar las vulnerabilidades de inyección SQL.


Tutorial Tema: cross-site scripting ataques (XSS ataques son un vector de ataque.)

XSS puede permitir ataques de cuentas secuestrados y las sesiones, "cookie" robo, extravío, y otras hazañas. Estas vulnerabilidades están directamente relacionados con la página web de codificación y el diseñador tiene que ser plenamente conscientes de la metodología común para la explotación de estas vulnerabilidades. Estas vulnerabilidades son muy comunes en el desarrollo de la web de negocios que venden en línea.

Conclusión

Bueno, eso es la lista de tutoriales para el futuro. A continuación encontrará algunas lecturas recomendadas, así como algunos enlaces útiles. También recomiendo que consulte la Web del foro de Seguridad aquí en OZZU y no tenga miedo de pedir a los miembros para obtener asistencia. Yo con mucho gusto la bienvenida a cualquier y todas las sugerencias y hacer lo mejor para responder a cualquier pregunta que tenga. Espero que disfruten de esta serie de tutoriales.

Herman M. Sims

Lecturas recomendadas:

Hacking Exposed, Osborne, http://www.osborne.com
Hacking Exposed Web 2. 0, Osborne, http://www.osborne.com
Pro PHP Seguridad, Apress, http://www.apress.com
La aplicación Web Hackers Handbook, Wiley, http://www.wiley.com
Pruebas de Seguridad Web de Cookbook, OReilly, http://www.oreilly.com

umm...lo siento por la respuesta, pero...ive estado revisando este hilo de los tiempos pero aún así, no puedo encontrar el tutorial.....?

Lamentamos la confusión. No he sido capaz de continuar con los tutoriales como lo había planeado originalmente. Ive estado fuera del campo por un tiempo y ahora han estado demasiado ocupados para continuar. Yo aprecio mucho a otro miembro ser capaz de tomar esta serie y correr con ella. Disculpe las molestias.