Migliori pratiche di sicurezza per lo sviluppo di applicazioni Web [chiuso]

5

Sto cercando gli attuali standard di codifica per lo sviluppo web (principalmente PHP). Dal momento che non voglio reinventare la ruota, vorrei riutilizzare le librerie scritte da persone molto più intelligenti di me.

Conosco OWASP che è una meravigliosa fonte di buone pratiche e informazioni brillanti. Il loro sito web è comunque abbastanza disorganizzato quando si tratta di librerie.

  • Da un lato c'è OWASP ESAPI con i puntatori alle librerie.
  • D'altra parte c'è OWASP AntiSamy, che ha anche delle librerie. A sua volta punta a HTMLPurifier o alla libreria MS Anti-XSS.

Non ho trovato alcun collegamento tra queste diverse soluzioni.

Esiste attualmente un consenso sulle librerie più raccomandabili da utilizzare per attenuare i principali rischi per la sicurezza?

Grazie

    
posta WoJ 31.08.2011 - 14:52
fonte

2 risposte

2

Sarà necessario aggiungere l'analisi del codice statico ai test. Molti problemi di Cross-site scripting (XSS) sono molto difficili da individuare per l'occhio umano. L'analisi automatica del codice li trova facilmente.

    
risposta data 31.08.2011 - 15:36
fonte
2

(Hey, conosco il personaggio di Bruce Ediger!;) Seriamente, non hai menzionato esattamente cosa stavi cercando, ma ESAPI non è uno "stile di codifica", ma piuttosto una libreria di vari controlli di sicurezza. Esiste un ' ESAPI per PHP '. OTOH, AntiSamy esiste solo per Java e .NET, quindi se stai cercando qualcosa per difendere contro XSS in PHP, ESAPI dovrebbe ottenere il cenno del capo.

Tuttavia, Bruce ha ragione ... in una certa misura. A meno che non stiate facendo un approccio "green field" su qualche progetto nuovo di zecca, l'analisi statica o dinamica è un vantaggio decisivo, soprattutto se si lavora su una base di codice estesa. Questi strumenti ti permetteranno di identificare i luoghi all'interno del tuo codice dove devi inserire i controlli di sicurezza di ESAPI.

Infine, potresti trovare utile questo libro (nota: non l'ho letto affatto, ma basandomi sul titolo e sul TOC, sembrerebbe che sia adatto al progetto): Sicurezza Pro PHP: dai principi di sicurezza delle applicazioni all'implementazione delle difese XSS, seconda edizione di Chris Snyder, Thomas Myer e Michael Southwell . È pubblicato da Apress. Ti lascio cercare nella tua libreria online preferita, ecc.

    
risposta data 01.09.2011 - 05:39
fonte

Leggi altre domande sui tag