Co każdy programista powinien wiedzieć o bezpieczeństwie? [Zamknięte]

Jestem studentem informatyki i jestem teraz na trzecim roku studiów. Do tej pory studiowaliśmy wiele przedmiotów związanych z komputerami w ogóle (programowanie, algorytmy, architektura komputerów, matematyka itp.).

Jestem pewien, że nikt nie może dowiedzieć się wszystkiego na temat bezpieczeństwa, ale jestem pewien, że istnieje „minimalna” wiedza, którą powinien wiedzieć każdy programista lub student informatyki, a moje pytanie brzmi: co to za minimalna wiedza?

Czy możesz zasugerować jakieś e-książki lub kursy, czy coś może pomóc w rozpoczęciu tej drogi?

Zasady, o których należy pamiętać, jeśli chcesz, aby aplikacje były bezpieczne:

• Nigdy nie ufaj żadnym wejściom!
• Sprawdź poprawność danych wejściowych ze wszystkich niezaufanych źródeł - używaj białej listy, a nie czarnej listy
• Zaplanuj bezpieczeństwo od samego początku - nie jest to coś, co można na koniec zaryzykować
• Prostota - złożoność zwiększa prawdopodobieństwo dziury w zabezpieczeniach
• Ogranicz powierzchnię ataku do minimum
• Upewnij się, że zawiedziesz bezpiecznie
• Użyj obrony dogłębnie
• Przestrzegaj zasady najmniejszych przywilejów
• Użyj modelowania zagrożeń
• Podziel na przedziały - aby twój system nie był wszystkim lub niczym
• Ukrywanie tajemnic jest trudne - a tajemnice ukryte w kodzie nie pozostaną długo tajemnicą
• Nie pisz własnego krypto
• Korzystanie z szyfrowania nie oznacza, że ​​jesteś bezpieczny (napastnicy będą szukać słabszego linku)
• Uważaj na przepełnienia bufora i jak się przed nimi chronić

Istnieje kilka doskonałych książek i artykułów online na temat bezpieczeństwa aplikacji:

• Writing Secure Code 2nd Edition - Myślę, że każdy programista powinien to przeczytać
• Budowanie bezpiecznego oprogramowania: jak we właściwy sposób uniknąć problemów z bezpieczeństwem
• Bezpieczne programowanie książki kucharskiej
• Wykorzystywanie oprogramowania
• Inżynieria bezpieczeństwa - doskonała lektura
• Bezpieczne programowanie dla Linux i Unix HOWTO

Naucz swoich programistów najlepszych praktyk w zakresie bezpieczeństwa aplikacji

Kodowanie (płatne)

Bezpieczeństwo innowacji (płatne)

Kompas bezpieczeństwa (płatny)

OWASP WebGoat (bezpłatny)

Zasada nr 1 bezpieczeństwa dla programistów: nie rzucaj własną

O ile nie jesteś ekspertem w dziedzinie bezpieczeństwa i / lub kryptografem, zawsze używaj dobrze zaprojektowanej, dobrze przetestowanej i dojrzałej platformy bezpieczeństwa, frameworku lub biblioteki, aby wykonać pracę za Ciebie. Te rzeczy spędziły lata na przemyślaniu, załataniu, aktualizacji i badaniu przez ekspertów i hakerów. Chcesz zyskać te zalety, a nie odrzucić je, próbując wynaleźć koło na nowo.

Nie oznacza to, że nie musisz uczyć się niczego na temat bezpieczeństwa. Z pewnością musisz wiedzieć wystarczająco dużo, aby zrozumieć, co robisz i upewnić się, że używasz narzędzi poprawnie. Jeśli jednak kiedykolwiek zaczniesz pisać własny algorytm kryptograficzny, system uwierzytelniania, dezynfekcję danych wejściowych itp., Przestań, cofnij się i pamiętaj o regule nr 1.

Każdy programista powinien wiedzieć, jak pisać kod exploita.

Nie wiedząc, w jaki sposób wykorzystywane są systemy, przypadkowo zatrzymujesz luki w zabezpieczeniach. Umiejętność łatania kodu jest absolutnie bez znaczenia, chyba że wiesz, jak przetestować łatki. Bezpieczeństwo to nie tylko kilka eksperymentów myślowych, musisz być naukowy i przetestować swoje eksperymenty.

Bezpieczeństwo to proces, a nie produkt.

Wielu zdaje się zapominać o tej oczywistej sprawie.

Sugeruję przejrzenie 25 najbardziej niebezpiecznych błędów programistycznych CWE / SANS TOP . Został zaktualizowany na 2010 rok z obietnicą regularnych aktualizacji w przyszłości. Wersja 2009 jest również dostępna.

Od http://cwe.mitre.org/top25/index.html

25 najniebezpieczniejszych błędów programistycznych w 2010 r. CWE / SANS to lista najbardziej rozpowszechnionych i krytycznych błędów programistycznych, które mogą prowadzić do poważnych luk w zabezpieczeniach oprogramowania. Często są łatwe do znalezienia i łatwe do wykorzystania. Są niebezpieczne, ponieważ często pozwalają atakującym całkowicie przejąć oprogramowanie, ukraść dane lub całkowicie uniemożliwić działanie oprogramowania.

Lista Top 25 jest narzędziem edukacyjnym i uświadamiającym, które pomaga programistom w zapobieganiu rodzajom luk w branży oprogramowania, identyfikując i unikając zbyt powszechnych błędów, które występują jeszcze przed dostarczeniem oprogramowania. Klienci oprogramowania mogą korzystać z tej samej listy, aby pomóc im poprosić o bezpieczniejsze oprogramowanie. Naukowcy zajmujący się bezpieczeństwem oprogramowania mogą wykorzystać Top 25, aby skoncentrować się na wąskim, ale ważnym podzbiorze wszystkich znanych słabości bezpieczeństwa. Wreszcie, menedżerowie oprogramowania i CIO mogą wykorzystać listę 25 najlepszych jako miernik postępu w swoich wysiłkach na rzecz zabezpieczenia swojego oprogramowania.

Dobrym początkowym kursem może być kurs MIT z zakresu sieci komputerowych i bezpieczeństwa . Jedną rzeczą, którą zasugerowałbym, to nie zapomnieć o prywatności. W pewnym sensie prywatność jest naprawdę fundamentem bezpieczeństwa i nie jest często przedmiotem technicznych kursów bezpieczeństwa. W tym kursie na temat etyki i prawa, który dotyczy internetu, możesz znaleźć trochę materiałów na temat prywatności .

Zespół Web Security w Mozilli opracował świetny przewodnik , którego przestrzegamy przy opracowywaniu naszych witryn i usług.

Znaczenie bezpiecznych ustawień domyślnych w ramach i interfejsach API:

• Wiele wczesnych frameworków internetowych domyślnie nie opuszczało HTML w szablonach i miało z tego powodu problemy z XSS
• Wiele wczesnych struktur sieciowych ułatwiło konkatenację SQL niż tworzenie sparametryzowanych zapytań prowadzących do wielu błędów związanych z iniekcją SQL.
• Niektóre wersje Erlang (R13B, może inne) domyślnie nie weryfikują certyfikatów równorzędnych ssl i prawdopodobnie istnieje wiele kodów erlang, które są podatne na ataki SSL MITM
• Transformator XSLT Java domyślnie zezwala na wykonanie dowolnego kodu Java. Powstało wiele poważnych błędów bezpieczeństwa.
• Interfejsy API analizowania XML w Javie domyślnie pozwalają parsowanemu dokumentowi na odczyt dowolnych plików w systemie plików. Więcej zabawy :)

Powinieneś wiedzieć o trzech A. Uwierzytelnianie, autoryzacja, audyt. Klasycznym błędem jest uwierzytelnienie użytkownika, bez sprawdzania, czy użytkownik jest upoważniony do wykonania jakiejś czynności, aby użytkownik mógł spojrzeć na prywatne zdjęcia innych użytkowników, tak jak zrobił to Diaspora. Wiele, wiele innych osób zapomina o Audycie, potrzebujesz w bezpiecznym systemie, aby móc powiedzieć, kto i co zrobił.

• Pamiętaj, że ty (programista) musisz zabezpieczyć wszystkie części, ale atakujący musi tylko znaleźć jeden supeł w swojej zbroi.
• Bezpieczeństwo to przykład „nieznanych niewiadomych”. Czasami nie będziesz wiedział, jakie są możliwe wady bezpieczeństwa (do tego czasu).
• Różnica między błędem a luką bezpieczeństwa zależy od inteligencji atakującego.

Dodałbym następujące:

• Jak działają podpisy cyfrowe i certyfikaty cyfrowe
• Co to jest piaskownica

Zrozum, jak działają różne wektory ataku:

• Przepełnienia bufora / niedopełnienia / etc w natywnym kodzie
• Inżynieria społeczna
• Fałszowanie DNS
• Człowiek w środku
• CSRF / XSS i in
• Wstrzyknięcie SQL
• Ataki kryptograficzne (np. Wykorzystujące słabe algorytmy kryptograficzne, takie jak DES)
• Błędy programu / frameworka (np .: najnowsza luka w zabezpieczeniach github )

Możesz łatwo google dla tego wszystkiego. To da ci dobry fundament. Jeśli chcesz zobaczyć luki w zabezpieczeniach aplikacji internetowych, istnieje projekt o nazwie Google Gruyere, który pokazuje, jak wykorzystać działającą aplikację internetową.

gdy budujesz jakieś przedsiębiorstwo lub własne oprogramowanie, powinieneś po prostu myśleć jak haker. wiemy, że hakerzy również nie są ekspertami we wszystkich rzeczach, ale kiedy znajdą jakąś lukę, zaczynają się w nie zagłębiać, zbierając informacje o wszystkich rzeczy i wreszcie atak na nasze oprogramowanie. więc aby zapobiec takim atakom, powinniśmy przestrzegać kilku dobrze znanych zasad, takich jak:

• zawsze staraj się łamać swoje kody (użyj cheatów i google, aby uzyskać więcej informacji).
• być aktualizowanym pod kątem wad bezpieczeństwa w dziedzinie programowania.
• i jak wspomniano powyżej, nigdy nie ufaj żadnym rodzajom danych wejściowych użytkownika ani automatycznych.
• używaj aplikacji typu open source (ich większość wad bezpieczeństwa jest znana i rozwiązana).

więcej zasobów bezpieczeństwa można znaleźć pod następującymi linkami:

• uchwycić bezpieczeństwo
• CERT Security
• SANS Security
• netcraft
• SecuritySpace
• openwall
• PHP Sec
• thehackernews (aktualizuj się)

aby uzyskać więcej informacji google na temat przepływów bezpieczeństwa dostawcy aplikacji.

1. Dlaczego to jest ważne.
2. Chodzi o kompromisy.
3. Kryptografia w dużej mierze odwraca uwagę od bezpieczeństwa.

W celu uzyskania ogólnych informacji na temat bezpieczeństwa gorąco polecam przeczytanie Bruce'a Schneiera . Ma stronę internetową, biuletyn kryptogramowy , kilka książek i przeprowadził wiele wywiadów .

Zapoznałem się również z inżynierią społeczną (i Kevinem Mitnickiem ).

Dla dobrej (i całkiem zabawnej) książki o tym, jak bezpieczeństwo gra się w prawdziwym świecie, poleciłbym doskonałą (choć nieco przestarzałą) „Jajko kukułki” autorstwa Cliffa Stolla.

Koniecznie sprawdź też listę 10 najlepszych OWASP aby podzielić wszystkie główne wektory / podatności na ataki.

Te rzeczy są fascynujące do przeczytania. Nauka myślenia jak atakujący nauczy Cię myśleć o tym, pisząc własny kod.

Sól i mieszaj hasła użytkowników. Nigdy nie zapisuj ich w postaci zwykłego tekstu w swojej bazie danych.

Chciałem tylko udostępnić to programistom:

przewodnik bezpieczeństwa dla programistów
https://github.com/FallibleInc/security-guide-for-developers