|
|
|
"Always listen to the experts. They will tell you what cannot be done. Then do it.
"
|
|
|
Biblia Bezpieczeństwa portalu - zestaw wskazań i wytycznych oraz Case Study.
Dane ogólne:
| Nazwa projektu: |
Dokument: "Biblia Bezpieczeństwa portalu" (praca zespołowa)
Dokument: "Biblia Bezpieczeństwa portalu - Case Study"
Szkolenie dla programistów i webmasterów z zakresu bezpieczeństwa portalu.
|
| Data realizacji: | VI-VII 2004 |
| Zleceniodawca: | INTERIA.PL |
| Dodatkowe informacje: |
Dokument poufny.
|
Zakres prac:
- Opracowanie merytoryczne rozdziałów poświęconych: pisaniu bezpiecznych skryptów PHP, ochrona przed atakami,
metody zabezpieczeń, typy ataków, opisy gotowych rozwiązań, przykłady
- Dokument "Security Bible - Case Study". Opisanie typowych błędów programistycznych i dziur w skryptach.
Opisanie sugerowanych metod modyfikacji oraz zabezpieczeń.
- Przeprowadzenie szkolenia dla programistów i webmasterów z zakresu bezpieczeństwa portalu.
Przykładowe sekcje dokumentu (fragmenty):
- Parametry wejściowe i sposoby zabezpieczeń
- Zasada "zero tolerancji i zaufania" dla otrzymywanych parametrów.
- Ataki typu Denial Of Service (DOS)
- Ataki typu HTML Code Injection
- Cross Site Scriptng ("XSS")
- Session Hijacking
- Phishing
- Sprawdzanie parametrów po stronie klienta (Javascript)
- Sprawdzanie parametrów po stronie serwera
- Wczytywanie danych z plików zewnętrznych, upload plików.
- Sprawdzanie uprawnień dostępu do danych.
- Przekazywanie danych między skryptami
- Ochrona przed atakami automatów (Brute Force etc.), zabezpieczenie mechanizmów głosowania, konkursów etc:
- cookies
- obrazek (token)
- liczniki IP
- Wyrażenia regularne w PHP i Javascript jako mechanizm walidacji parametrów.
- Przechowywanie danych:
- Zasada "minimum praw" dostępu do baz danych
- Przechowywanie haseł
- Przechowywanie danych osobowych
- Słowniczek pojęć i terminów
|
