Come assicurarsi che la mia applicazione web sia protetta? [chiuso]

Essere colui che fa questo commento: non si può mai essere sicuri al 100%. Ma puoi:

• Utilizzare regolarmente gli scanner di vulnerabilità (credentialled e noncredentialled) (ogni settimana?) per assicurarsi che le vulnerabilità pubbliche siano state corrette e che non sia stato aperto accidentalmente il proprio server web fino al mondo esterno. Prova ad usare OpenVAS o Nessus (o qualsiasi altro) per la scansione delle vulnerabilità. Prova a utilizzare OWASP ZAP di tanto in tanto per vedere se hai eventuali webvulnerabilities
• Esegui lo scanner SSLlabs sul tuo sito ogni mese per assicurarti di essere sempre aggiornato con la crittografia
• Esegui il tuo codice tramite uno scanner di codice sorgente (qualcuno può dire quale è facile e buono?)
• Pensa a processi sicuri da eseguire durante l'amministrazione del tuo sito web. Quindi, come lavori con password e autorizzazioni (non so se hai dipendenti)
• Segui la guida ai test di OWASP e prova a eseguirla da solo. Guarda anche i trucchi OWASP per l'amministrazione e lo sviluppo del tuo sito web e dei servizi web
• Assumi una società di pentecoste una volta all'anno per fare una vera "sostituzione" per vedere se hai delle vulnerabilità che tu stesso e gli scanner automatici non hanno l'esperienza necessaria per trovare (principalmente nella logica di business e più vulnerabilità approfondite)

Qui presumo che tu non sia un professionista della sicurezza, quindi non puoi fare tutto da solo. Ma penso che se fai uso di scanner automatici e noleggi pentesters una volta all'anno sei più sicuro che puoi in circostanze normali. Se non hai soldi per i pentesters dovrai provare a fare la maggior parte delle cose da te (la guida ai test OWASP è un vero aiuto!). Se hai un sacco di soldi dovresti assumere un professionista della sicurezza per contribuire costantemente a migliorare la sicurezza della tua organizzazione.

Secondo me il metodo migliore è eseguire un pentest. L'hacking etico eseguito da professionisti ti darà i difetti del tuo sito web.

Ad ogni modo, alcuni controlli comuni sono:

• Il tuo sito Web ha un buon certificato?

Intendo un certificato rilasciato da un'entità autorizzata, non un certificato autofirmato.

• Hai attivato HSTS ?

Serve per reindirizzare automaticamente i client che richiedono la pagina in versione semplice (http) alla versione sicura (https).

• Il mio sito web ha le intestazioni di sicurezza?

Le solite protezioni contro clickjacking, XSS e altri. Verifica questo: link

• Sei sicuro che il contenuto visualizzato sia il contenuto desiderato da mostrare?

Controlla se ci sono file "residui" nelle cartelle di navigazione del server. Controlla se la parte privata del sito non è accessibile direttamente dall'URL evitando il login ... tutti i controlli di base.

• Sei sicuro che la tua versione e tecnologia del server sia aggiornata?

Di solito, le vecchie versioni di qualsiasi server web o tecnologia (Apache, php, wordpress, nginx, ecc.) sono vulnerabili ad alcuni attacchi.

• Hai qualche tipo di protezione contro il DoS?

Nel tuo caso, se il sito web è ospitato su AWS puoi parlare con il tuo fornitore (Amazon) per questo servizio.

• Esegui un'analisi SAST sul tuo codice utilizzando uno strumento di scansione del codice sorgente. < - Ho aggiunto questo per rispondere a Wealog chiedendo questo sulla sua risposta.

Checkmarx è un'opzione molto buona ma è costosa. HP Fortify può fare anche il lavoro ma è anche costoso. Per le app mobili ci sono alcune soluzioni gratuite come androbugs, drozer o mobsf. Per altri tipi di app non conosco uno strumento valido gratuitamente.

Questo può essere valido per iniziare. Ma ricorda, pentest è la chiave secondo me.