¿Cuál es la mejor manera de proteger / proteger una aplicación web?

Un nuevo sitio web dinámico que genera ingresos está apareciendo en Internet cada 1 minuto. ¿Sabes cuántas líneas de código escritas en un día? ¡Más de 500 millones de líneas de código! Si verdad. Millones de líneas de código de seguridad de aplicaciones web se escriben todos los días en todo el mundo.

¿Con qué seguridad está codificando su equipo entonces? Esta es la cosa más importante. ¿Su equipo conoce las mejores prácticas simples a seguir para asegurar su aplicación web? Aquí hay una lista de verificación que puede ayudar a su equipo a crear aplicaciones sólidas y seguras.

Suscríbase a nuestra lista de correo para comprender más sobre las mejores prácticas.

  1. Desinfecte las entradas tanto en el lado del cliente como en el lado del servidor. No debe permitir caracteres especiales, caracteres nulos y guiones divertidos. Este paso debería evitar que los atacantes utilicen XSS y varias inyecciones como SQL, etc. No puede simplemente desinfectar al cliente y pensar que está protegido. Cualquiera siempre podría desactivar JavaScript o cambiar los valores y enviarlos a su servidor. Utilice Escape Contextual Estricto (SCE), la mayoría de los Javascripts en estos días lo ayudan con este escape. Esto ayuda a evitar los principales ataques XSS y SQL.
  2. Siempre codifique la solicitud / respuestas. Especialmente, la respuesta que se envía desde el servidor al cliente debe estar codificada, de modo que el navegador no la ejecute si es una carga útil. Esto evitará XSS y otros ataques basados ​​en secuencias de comandos.
  3. Utilice siempre HTTPS para todas las entradas de dominio. La entrada del dominio en la url debe considerarse y redirigirse correctamente, es decir, el usuario puede intentar de cualquiera de las siguientes maneras: Ingresar la url en cualquiera de las formas mencionadas anteriormente debe redirigirse a https: //www.example.comhttp: // ww …
  4. No utilice algoritmos de cifrado y hashing obsoletos como MD4, MD5, SHA1, DES.
  5. Configure el servidor web para no permitir el listado de directorios.
  6. No almacene datos confidenciales como nombres de usuario y contraseñas dentro de las cookies. Nunca use nombres predeterminados para sesiones como PHPSESSID, ASP.NET_SessionId, etc., sino que use nombres personalizados.
  7. Verifique la aleatoriedad de la sesión y asegúrese de que caduque después de cerrar sesión y en uso inactivo. Las sesiones caducadas ya no deberían ser útiles para futuras transacciones de cliente a servidor.
  8. Siempre configure banderas seguras y HttpOnly en las cookies.
  9. Utiliza TLS. No use SSL. Simplemente deshabilite SSL en el servidor y siempre use TLS 1.2 para los certificados.
  10. Establezca siempre una política de contraseña segura y también implemente medidas de seguridad como captcha para mitigar los ataques de fuerza bruta. La aleatoriedad con la que genera la contraseña predeterminada y el contenido relacionado con el usuario debe ser absolutamente aleatorio.
  11. Los campos ocultos del formulario no deben contener información confidencial. Asegúrese de que no se recopile información confidencial a través de campos ocultos.
  12. La funcionalidad de carga de archivos debe verificarse correctamente, no solo en el lado del cliente sino también en el lado del servidor porque la verificación del lado del cliente por sí sola no es suficiente. El atacante puede interceptar el tráfico y cambiar el tipo de archivo o el contenido. Verifique las extensiones y el tamaño del archivo correctamente. No acepte archivos zip / pdf protegidos con contraseña. Ponga un captcha en cada página de carga de archivos.
  13. Utilice los siguientes encabezados de respuesta en cada respuesta: seguridad-transporte-estricta: max-age = 7776000x-content-type-options: nosniffx-frame-options: SAMEORIGIN x-xss-protection: 1; modo = bloque
  14. Asegúrese de que las bibliotecas o complementos de terceros que se utilizan dentro de la aplicación estén libres de vulnerabilidades notadas. Para obtener información sobre los CVE existentes, visite https://cve.mitre.org/.
  15. No se recomienda mostrar la información del servidor web en los encabezados de respuesta.

Para más detalles: ¿Ha realizado esta lista de verificación de seguridad simple de 15 puntos para su aplicación web?

La mejor metodología para la seguridad de aplicaciones web: estudio de caso de logística

Related Content

¿Existen riesgos / incidentes de ransomware para iOS?

En el contexto del cifrado basado en atributos, ¿el usuario que posee un atributo debe poder acceder al contenido que requiere que el atributo se descifre y se publique antes de que posea el atributo?

Pensando en estudiar la seguridad de la red. ¿Algún consejo? ¿Me arrepentiré de esto por alguna razón?

¿Cuáles son los usos industriales de la criptografía?

¿Qué tan importante es aprender Linux para un especialista en ciberseguridad?

Hola,

Hoy en día, la seguridad cibernética está jugando un papel crucial en el mundo cibernético. Una de las mejores maneras de proteger una aplicación web o sitio web es mediante la implementación de Seguridad de firewall de aplicaciones web (WAFS) .

Es un Servidor de seguridad de aplicaciones web (WAF) y un Sistema de prevención de intrusiones (IPS) basado en la nube que asegura aplicaciones estáticas, dinámicas, de comercio electrónico, ERP, CRM o cualquier tipo de aplicaciones web, independientemente de sus plataformas.

Característica de WAF

  • Mitigación de los ataques de denegación de servicio distribuido (DDoS)
  • Prevención de intentos de explotación de vulnerabilidad (SQLi, XSS, RFI / LFI, etc.)
  • Ataques de control de acceso
  • Optimización del rendimiento

Así que opte por dicho servicio si desea conocer las mejores opciones para sus requisitos, le sugerimos que haga ping en Fgrade Global Services.

Kanishk Tagade

oye, detente ofrece WAF + DDoS Protection + Load Balancing en una sola plataforma , puede proteger su sitio web / aplicación web por completo de ataques Bot, inyecciones SQL, ataques DDoS, ataques de fuerza bruta, ataques basados ​​en SSL-XSS, etc. También le ofrece espectro completo visibilidad de su sitio web del tráfico entrante y saliente con paneles estándar e impresionantes. Puede probar su solución de forma gratuita durante 15 días y ver si funciona.

Pooja Pandey

More Interesting

¿Cuáles son las principales prácticas de prueba de seguridad para una aplicación web?

Cómo aprender piratería ética en India sin clases

¿Qué naciones u organizaciones podrían llamarse superpotencias cibernéticas?

¿Cuáles son los objetivos de la detección de amenazas cibernéticas?

Cómo detectar spyware

¿Cuál es exactamente la razón por la que es posible un DDoS?

¿Cuál es la diferencia entre malware, virus, gusanos y troyanos?

Cómo hackear un sitio web en unos sencillos pasos

¿Cuál es el mejor, Windows Defender o McAfee AntiVirus, para Windows 10?

Funciones hash: ¿Cuál es una explicación intuitiva del algoritmo HMAC?

¿El lenguaje de programación utilizado para escribir software de back-end es un factor de seguridad?

¿Qué tan difícil es hacer ddos? ¿Cómo lo haces?

Cómo incorporar la conciencia de ciberseguridad en OT

Cómo proteger mi MacBook Pro de ladrones

Cómo encontrar todos mis correos electrónicos y contraseñas