我正在设计一个应用程序,用户可以通过Web界面远程登录和使用。
安全性至关重要(想想信用卡和个人银行类型信息) - 所以我需要确保我将安全方面确定下来 - 很难。
我打算通过传统(有状态)网页以及网络服务提供应用程序功能。
为了它的价值,我打算使用web2py作为我的Web应用程序框架。
是否有我可以遵循的指南清单,以确保我涵盖所有领域?
答案 0 :(得分:2)
一站式购物:https://www.owasp.org/index.php/Main_Page
阅读并牢记每一个建议。
答案 1 :(得分:0)
你应该至少考虑以下几点:
验证。让用户以某种方式登录。他们使用哪种认证方法取决于您的目标
隐私。确保他们发送的信息仅对他们和您的应用程序可见,而不是窃听者。
在最简单的情况下,SSL可以处理上述两种情况。它将始终提供加密,但也可用于验证或至少使一些简单的身份验证机制更安全。有一点需要注意的是ssl的安全性。当用户已经与他们的雇主建立信任关系时,ssl特别容易受到中间人攻击的影响 - 他们可以继续安装一个实际上是模仿的ssl网关。
这实际上取决于您使用的技术。
这是一个非常开放的问题。从法律上讲,这很少(从不?)使用,所以它取决于...例如用户请求的行动的签名日志就足够了。
答案 2 :(得分:0)
到目前为止,您最大的威胁是编写服务器端Web应用程序代码,该代码会在Web应用程序层中引入漏洞。这不是你可以清单的东西。对于初学者,请确保您对OWASP Top Ten中的项目100%感到满意,并了解如何安全地对其进行编码。如果您不是Web应用程序漏洞专家,请强烈考虑雇用帮助审查Web层的人员。至少,我会考虑联系安全测试公司来执行某种形式的渗透测试,最好是使用代码审查组件。
如果您对信用卡数据执行任何操作,则需要遵守PCI DSS,这至少需要经过批准的扫描供应商进行每季度的远程测试。