TUTORIAL: Développement Web & Design Présentation de la sécurité

Introduction

Savoir comment l'attaquant pense, ce que les tactiques qu'ils emploient, est votre première défense contre eux.

Ce tutoriel est une simple introduction à la prochaine série de tutoriels. Information générale seront présentés ici avec quelques références pour votre propre information. Aussi je me félicite de toutes les suggestions et les commentaires spécifiques en ce qui concerne les questions de sécurité que je dois couvrir à l'avenir des tutoriels. Je peux dire que c'est une zone de grandes préoccupations de la quantité de messages déjà sur le site Web du Forum de la sécurité.

Cette série de didacticiels traitent de la sécurité sur le Web Designers vue. Développer le «Eye To de sécurité" en tant que partie intégrante de la conception de sites Web / processus de développement doit être l'objectif de tous les créateurs, qu'ils soient nouveaux ou ont été, à elle pendant un certain temps. Après cette sensibilisation à la sécurité et la capacité de intelligemment transmettre cette information à vos clients feront de vos services d'autant plus précieux et vous plus recherchées par les clients potentiels.

Les phases d'attaque

La plupart des attaquants essaient d'accéder à votre réseau de clients de suivre une approche méthodique d'une série de mesures. Soyez conscient qu'il ya beaucoup de questions de sécurité qui ne sont pas dédiés à partir d'un seul attaquant, mais sont des virus, vers, logiciels malveillants, et de divers vecteurs d'attaque automatique. Elles feront l'objet de leurs propres didacticiels.

Permet de couvrir les phases d'une attaque standard pour accéder à un réseau. Les 5 phases de la pénétration du réseau:

1. Reconnaissance (information du public, la cible de recherche, le développement d'un profil unique de l'objectif)
2. Scanning (un peu plus loin le long du chemin de la collecte d'informations)
3. L'accès (l'attaque commence, en utilisant les vulnérabilités identifiées ci-dessus)
4. Le maintien de l'accès (en veillant à ce que le système reste accessible )
5. Couvrant Tracks (s'assurer que personne ne sait)

Un attaquant dédié à rien, mais le temps sur leurs mains et de nombreuses ressources en ligne du matériel peut pénétrer et d'exploiter virtuellement tous les systèmes. Comme les concepteurs et les développeurs, nous pouvons faire de la sécurité d'une partie de notre processus, nous-mêmes et garder nos clients informés.

Tutorial Subjects

Future didacticiels traiter avec les deux premières phases qui se rapportent à la web designer / développeur, des vecteurs d'attaque sur le web, les failles de sécurité Web et, bien entendu, les thèmes proposés par les membres. Voici les sujets que j'ai actuellement dans l'esprit.

Tutorial thème: Footprinting (Ce tutoriel va couvrir les questions relatives à l'information disponible publiquement, comment ajouter une couche d'obfuscation, et la façon d'utiliser cette information pour fournir une couche de défense de vos clients en utilisant cette information comme une première alerte à d'éventuels attentats.)

Les deux premières phases, souvent dénommé "Footprinting", peut prendre le plus de temps. "Footprinting" est une reconnaissance systématique et méthodique d'un objectif d'acquérir un profil aussi complet possible de l'organisation, y compris les vecteurs d'attaque. C'est là que l'attaquant d'utiliser plusieurs outils pour recueillir des informations sur la victime. Fuite d'information est la clé ici. Lors de l'élaboration d'un site, vous devez garder à l'esprit ce que l'information sur la cible peut être obtenu de l'ouverture et des moyens légaux. Une partie de ce sera la responsabilité des développeurs et certains seront les clients. Voici votre chance de vous guider dans vos clients de la prise de décision et de démontrer vos connaissances en matière de sécurité.


Tutorial thème: Plate-forme Web attaques spécifiques (Ce tutoriel va couvrir une plate-forme de serveur Web des attaques spécifiques. )

Bien que ce ne soit pas nécessaire de la responsabilité du Web designer / développeur, de plus la responsabilité de l'administrateur système, la connaissance de ces vecteurs d'attaque vous permettra de bien informer vos clients et développer vos connaissances en matière de sécurité de base.


Tutorial thème: HTML Vulnerabilities (Il couvrira un large éventail d'attaques liées HTML. )

Côté serveur prie, serveur web interactions en général, et les vecteurs d'attaque HTML sera couvert dans ce tutoriel. L'un des principaux domaines de souligner dans ce tutorial sera validation. Information provenant du serveur, l'information connue, n'a pas besoin d'être validées. l'information ne viennent d'ailleurs. Formulaire de demande de validation et de l'information est un élément clé lors de codage en HTML pur. Débordements de buffer, exécution de code à distance, entre autres, seront abordés ici.


Tutorial thème: PHP Vulnerabilities (Cela couvre plusieurs attaques liées PHP.)

De la réponse à ce jour dans le site Web du Forum de la sécurité, je crois que ce sera un sujet brûlant et mai branche off en plusieurs sous thèmes et des tutoriels. Certaines des questions de l'HTML tutorial seront couverts en ce qui a trait à PHP PHP ainsi que des vulnérabilités particulières.


Tutorial thème: SQL Injection (Comme il s'agit d'un vecteur d'attaque ce sera son propre tutoriel.)

Lors de l'élaboration d'un site Web avec base de données de connexion supplémentaire doit être prise dans le processus de codage. Vous créez un lien direct vers la base de données clients et peut créer facilement exploitable et vecteur d'attaque. Quelques pièges et les erreurs de codage seront traités ici avec de nombreuses suggestions quant à la manière d'éviter les vulnérabilités d'injection SQL.


Tutorial thème: Cross-Site Scripting Attacks (Attaques XSS sont un vecteur d'attaque.)

Peut permettre des attaques XSS pour détourné les comptes et les sessions, le vol de cookie, erreur, et d'autres exploits. Ces vulnérabilités sont directement liés au site Web de codage et le concepteur a besoin d'être pleinement conscients de la méthodologie commune pour l'exploitation de ces vulnérabilités. Ces vulnérabilités sont très fréquents lors du développement des affaires sur le web qui vendent en ligne.

Conclusion

Eh bien, c'est la liste des tutoriels pour l'avenir. Ci-dessous vous trouverez quelques lectures recommandées ainsi que quelques liens utiles. Je vous recommandons également de consulter le site Web du Forum de la sécurité ici à OZZU et ne craignez pas de demander aux membres de l'aide. Je suis heureux d'accueillir toutes les suggestions et ferai de mon mieux pour répondre à toutes vos questions. J'espère que vous apprécierez cette série de tutoriels.

Herman M. Sims

Lectures recommandées:

Hacking Exposed, Osborne, http://www.osborne.com
Hacking Exposed Web 2. 0, Osborne, http://www.osborne.com
Pro PHP Security, Apress, http://www.apress.com
L'application Web Hackers Handbook, Wiley, http://www.wiley.com
Web Security Testing Cookbook, OReilly, http://www.oreilly.com

Umm...je suis désolé pour la réponse, mais...Ive été vérifier ce fil de temps, mais encore, je ne trouve pas le tutoriel.....?

désolé pour la confusion. Je n'ai pas pu continuer avec le tutoriel que je l'avais initialement prévu. Ive été sur le terrain pour un certain temps et ont été trop occupé pour continuer. Je vous serais très reconnaissant un autre membre de pouvoir prendre cette série et à courir avec lui. Désolé pour ce désagrément.