Лучшие практики безопасности внешнего интерфейса

Лучшие практики безопасности внешнего интерфейса

В настоящее время обсуждение безопасности стало критически важным при создании практически любого приложения, и именно поэтому я здесь пытаюсь рассказать о некоторых передовых методах обеспечения безопасности внешнего интерфейса.

Я знаю, что атаки могут произойти всегда, и даже с лучшими практиками безопасности во внешнем интерфейсе злоумышленники могут взломать систему, но именно поэтому нам также необходимо внедрить внутреннюю безопасность, но это другая тема, давайте сразу перейдем к безопасности внешнего интерфейса. риски!

Распространенные внешние атаки

XSS-атаки

В основном это состоит в том, что злоумышленник внедряет вредоносные скрипты на ваш сайт. Что происходит, так это то, что, поскольку доверие к вашему веб-сайту уже установлено, ваш браузер выполнит вредоносный код, ставящий под угрозу работоспособность вашей системы.

Чтобы смягчить последствия. Я рекомендую здесь дезинфицировать все входные данные, которые может принять ваш веб-сайт, чтобы злоумышленник не смог отправить какой-либо скрипт.

CSRF-атаки

В атаке CSRF (подделка межсайтовых запросов) злоумышленник соблазняет вас делать вредоносные запросы, другими словами, злоумышленник выполняет вредоносные запросы от вашего имени. Злоумышленники воспользуются вашим уже существующим аутентифицированным сеансом веб-сайта.
Эта атака может осуществляться в различных формах, таких как скрытые формы, электронная почта или чат.

Для смягчения последствий: есть много вещей, которые вы можете сделать, чтобы предотвратить атаки CSRF. Одним из них является использование атрибута файла cookie SameSite для сеансовых файлов cookie. Еще один способ — проверить, имеет ли используемая в настоящее время платформа встроенную защиту от CSRF, а еще одну рекомендацию, которую я хотел бы вам дать, — использовать токены CSRF.

Токены CSRF больше подходят для серверной части, поскольку токен генерируется на стороне сервера. Эти токены генерируются для сеанса пользователя, и для каждого запроса, сгенерированного клиентом, сервер должен проверять, существует ли токен, Идействителен ли он, поэтому, если токен не существует или существует, но недействителен, запрос должен быть прерван.

Атаки с внедрением CSS

В этом виде атаки злоумышленник внедряет произвольный код CSS в доверенный веб-сайт, отображаемый в браузере жертвы.

Чтобы смягчить ситуацию. Наиболее часто рекомендуемый способ предотвращения внедрения CSS – самостоятельно размещать файлы CSS на собственных серверах.

Сторонние библиотеки

Хорошо, я понял… Использование сторонних библиотек может помочь повысить производительность и ускорить разработку, но также может привести к большому количеству уязвимостей, возможно, некоторые библиотеки содержат вредоносный код или в библиотеках отсутствуют методы предотвращения уязвимостей.

Для смягчения последствий: мы всегда должны проверять уязвимости сторонних библиотек, которые мы периодически используем.

В заключение

Совершенно нормально быть параноиком в отношении безопасности, на самом деле я лично считаю, что вы должны быть параноиком, когда речь идет о безопасности программного обеспечения. Я многое узнал о безопасности внешнего интерфейса, работая над моим текущим проектом, и упомянутые выше методы смягчения последствий являются одними из лучших практик, используемых в нашем внешнем интерфейсе.

Это оно! Я надеюсь, что вы получили некоторую помощь в этой статье, увидимся в следующей!

Удачного кодирования!