Práticas recomendadas de segurança de desenvolvimento de aplicativos da Web [closed]

5

Eu estou procurando o atual, estado da arte, padrões de codificação para desenvolvimento web (principalmente PHP). Como não quero reinventar a roda, gostaria de reutilizar bibliotecas escritas por pessoas muito inteligentes do que eu.

Eu sei sobre o OWASP, que é uma excelente fonte de melhores práticas e informações brilhantes. Seu site é, no entanto, bastante desorganizado quando se trata de bibliotecas.

  • Por um lado, há o OWASP ESAPI com ponteiros para as bibliotecas.
  • Por outro lado, existe o OWASP AntiSamy, que também possui bibliotecas. Por sua vez, aponta para HTMLPurifier ou a biblioteca do MS Anti-XSS.

Não encontrei links entre essas diferentes soluções.

Existe atualmente um consenso sobre as bibliotecas mais recomendáveis a serem usadas para mitigar os principais riscos de segurança?

Obrigado

    
por WoJ 31.08.2011 / 14:52
fonte

2 respostas

2

Você precisará adicionar uma análise de código estático ao seu teste. Muitos problemas de cross-site scripting (XSS) são muito difíceis para o olho humano escolher. Análise de código automatizado os encontra facilmente.

    
por 31.08.2011 / 15:36
fonte
2

(Ei, eu sei que o personagem Bruce Ediger!) Sério, você não mencionou exatamente o que estava procurando, mas o ESAPI não é um "estilo de codificação", mas sim uma biblioteca de vários controles de segurança. Existe um ' ESAPI para PHP '. OTOH, AntiSamy só existe para Java e .NET, então se você está procurando algo para ajudar a se defender contra o XSS em PHP, o ESAPI deve acenar.

No entanto, Bruce está certo ... até certo ponto. A menos que você esteja fazendo uma abordagem de campo verde em algum projeto novo, a análise estática ou dinâmica é uma vantagem definitiva, especialmente se você estiver trabalhando em uma grande base de código. Essas ferramentas farão com que você identifique locais dentro do seu código onde você precisa inserir os controles de segurança do ESAPI.

Finalmente, você pode achar este livro útil (nota: eu não o li de jeito nenhum, mas baseado no título e no TOC, parece que cabe na conta): Segurança Pro PHP: dos princípios de segurança de aplicativos à implementação de defesas XSS, segunda edição por Chris Snyder, Thomas Myer e Michael Southwell . É publicado pela Apress. Vou deixar você procurar em sua livraria online favorita, etc.

    
por 01.09.2011 / 05:39
fonte