Lavoro nella professione di IT Security come revisore IT. Nel tuo caso, dovresti proteggere entrambe le informazioni a riposo mentre sono archiviate nel database e durante il transito, mentre i dati vengono scritti nel database dall'applicazione. Inoltre, è necessario difendersi dagli attacchi comuni contro le applicazioni Web.
Protecting data in transit
Seguendo il principio riservatezza della triade di sicurezza, vorresti crittografare i dati per proteggerli dagli attacchi MITM. Assicurati di utilizzare un metodo di crittografia strong come TLS versione 1.2 con algoritmo di crittografia AES e lunghezza della chiave di almeno 128.
Protecting data at rest
I dati, a seconda della classificazione o del valore, dovrebbero essere encrpyted at rest mentre sono memorizzati nel database. Se nel database sono presenti credenziali, tali credenziali devono essere sottoposte a hash utilizzando un algoritmo di hash strong. Non utilizzare SHA 1 perché è insicuro.
Defending against attacks aimed at web applications
Oltre a proteggere i dati in transito e a riposo, devi anche difenderti da attacchi comuni basati sul web come
SQL injection, XSS, cross site request forgery (CSRF / session riding), and
attacks on sessions like fixation.
La difesa principale per l'iniezione SQL e gli attacchi XSS è convalida dell'input dell'utente sul tuo sito tramite l'escape di input pericolosi (es: SELECT * FROM) e l'uso di parametri
funzioni. Per gli attacchi di fissazione delle sessioni, la difesa principale è non consentire ID di sessione nelle istruzioni POST e rigenerare l'ID di sessione su ogni richiesta dal client. Per CSRF, la protezione principale utilizza dati aggiuntivi nella richiesta di autenticazione del client che consente al server di rilevare e negare le richieste provenienti dall'esterno della sessione stabilita.