Сейчас читаю книгу по Web безопасности одного из специалистов в этой сфере и если честно, то она не очень пока мне нравится. Я даже не читаю, а просматриваю. Но вот один абзац меня натолкнул на размышления:
In any security-critical application, the most effective way to implement realtime alerting is to integrate this tightly with the application’s input validation mechanisms and other controls. For example, if a cookie is expected to have one of a specifi c set of values, any violation of this indicates that its value has been modified in a way that is not possible for ordinary users of the application.
Переведу смысл на всякий случай - для приложений, которым безопасность очень важна, наиболее эффективным методом будет реализовать оповещения в реальном времени и привязать его к механизму проверки входных данных. Например, если плюшка должна быть определенного значения и она модифицирована так, что пользователь не мог этого сделать, нужно сообщить.
Механизм мониторинга нужен, но я не понял, зачем нужно мониторить все изменения параметров?
Когда я работал над сайтами Sony, то там даже нельзя было оставлять подобные случаи в коде, которые могут среагировать неверно на неверный параметр. Сайты с большим количеством пользователей и интересные хакерам постоянно находятся под наблюдением, постоянно тестируются различными сканерами. Достаточно одному хакеру запустить любую утилиту сканирования и мониторинг будет орать на всю катушку.
Пытаться блокировать тестирование бесполезно, да и не вижу смысла. Сайт просто должен быть написан так, чтобы выдерживал любые автоматические тесты и не падал от них. А тем более не должен содержать ошибок, которые могут выявить автоматические тесты на уязвимости.
Ввод пользователей должен правильно фильтроваться и никаких мониторов вешать на них не стоит, иначе бубенчик будет звенеть постоянно. А когда он звенит без остановки, то со временем просто ставится это дело на игнор и когда реально происходит взлом, то из-за постоянного звонка реальная проблема пропускается из виду.
Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку пока еще никто не лайкал и ты можешь быть первым
Верно! Проверять достоверность параметров и модели еще никто не запрещал.
Михаил, напиши книгу: ASP.NET MVC глазами хакера. )))
Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2024 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
