|
|
Secure Application Development
" Web ไม่ได้ถูกสร้างมาเพื่อสำหรับการ run application มันเป็นเพียงการแสดงผลแบบ static เท่านั้น " ดังนั้นถ้าเราเอามา run application แล้วนั้นมันย่อมมีปัญหาอย่างแน่นอน "
Firewall นั้นไม่สามารถที่จะ block การโจมตีในระดับ application ได้ ดังนั้นเราจึงต้องมา focus ที่ applocation ครับ
จากคำพูดข้างต้นจึงต้องมีการแก้ไขปัญหาเบื้องต้นตามข้อสรุปครับ
16 ข้อที่ควรจะทำในการพัฒนา Web Application
1. Don't hard code user and password
อย่าทำการ hard code พวก user/password หรือ ข้อมูลที่สำคัญในระบบ ทั้ง client side และ server side ควรที่จะเห็บไว้ใน file หรือที่ๆ ไม่สามารถ access ผ่านจาก web ได้
2. Don't store backup files on production server
การ backup ไม่ควรที่จะไว้บน production server และ ไม่สามารถ access ผ่าน web ได้ ไม่เช่นนั้นจะโดน Forceful browsing attack ได้
3. Don't give too much information
อย่าแสดงข้อมูลเกี่ยวกับระบบมากเกินไป เช่น ในการ login เข้าระบบ ถ้าเกิด error ขึ้นก็บอกไปเพียง User or password incorrect. เท่านั้นก็พอ รวมทั้งใช้ Security Code มาช่วย เนื่องจากการแสดงข้อมูลมากเกินไปนั้นจะเป็นเบาะแสในการเจาะเข้าระบบ
4. Don't use hidden filed
ในระบบ web application ไม่ควรที่จะใช้ hidden file เนื่องจาก user สามารถเห็นได้ว่ามี hidden filed value อะไรบ้าง ซึ่งทาง user สามารถได้โปรแกรมมาทำการแก้ไขข้อมูลก่อนส่งไปยัง server ได้ ทำให้ข้อมุลที่ผิดเข้าไปยัง server ได้ แต่ว่าสามารถแก้ปัญหานี้ได้จาก ข้อ 5
5. Alway validate input
จะต้อง Validate input ทั้งฝั่ง client side และ server side ตลอด เนื่องจากข้อมูลที่ส่งมาจาก client สามารถถูกดักจับและแก้ไขได้ ก่อนที่จะส่งมายัง server ตัวอย่างเช่น ถ้าข้อมูลการซื้อขายถูกแก้ไขแล้ว ใน server ไม่มีการ validate แล้วนั้น คิดดูจะเกิดอะไรขึ้น
6. Don't use GET method
เนื่องจาก GET method นั้นจะแสดงผลข้อมุลที่ส่งไปยัง server ทั้งหมดใน url ดังนั้น user สามารถแก้ไขข้อมูลได้อย่างง่ายดาย
7. Don't rely on single-factor session ID
จะเกี่ยวกับการจัดการ Session ( Session Management ) โดยจะจัดการ session ผ่าน session id ส่วนการ implemnet session นั้นจะใช้ url( jsessionid ) ,hidden field, cookies ปัญหาในการจัดการด้วย seesion นั้นเกิดขึ้นเนื่องจาก user สามารถเห็น seesion id ได้ ยิ่งถ้าได้ session id ของ user อื่นมาแล้วนั้นก้สามารถเป้นคนๆ นั้นได้เลย
ดังนั้นในการแก้ไขในปัจจุบันนั้นจะไช้ information ต่างๆ มากกว่า session id มา implement หรือในปัจจุบันจะใช้ token, ticket มาช่วย ซึ่งจะทำให้ยากแก่การขโมย รวมทั้งมีการ encrypt มาช่วยด้วย
8. Don't keep any secret in Cookies
อย่าเก้บข้อมูลที่มีความสำคัญหรือความสำคัญไว้ใน cookies เนื่องจาก user สามารถแก้ไข cookies ได้ แต่ถ้าจะใช้เราควรที่จะ encrypt ข้อมูล ( ไม่ใช้ encoding นะครับ )
9. Don't communicate important information in clear-text
ข้อมูลที่มีความสำคัญนั้นควรที่จะ encrypt เสมอ ในทุกๆ layer เนื่องจากเราอย่าคิดว่าระบบจะไม่ถูกเจาะ
โดยแบ่งเป้น
- Confidential ( ความลับ ) เช่น user/password, credit cart number, account number เป็นต้น
- Intrgrity ( ความถูกต้อง )เช่น ราคาม ปริมาณของสินค้า เป็นต้น
10. Don't take note on the web page
ใน source code อย่าทำการ commment เช่นใน JSP, PHP, ASP page เนื่องจาดจะเป็นเบาะแสของการเจาะเข้าระบบได้ครับ
11. Don't show system error message
ข้อนี้สำคัญครับ เนื่องจากทาง user จะรู้ทันทีว่า server ที่ใช้คืออะไร database คืออะไร เท่านั้น user ก้รู้แล้วว่าจะโจมตีอย่างไรครับ
12. Don't use client's input as an command
ตรงนี้ก้คือปัญหาพวก SQL Injection ครับ
13. Left system administration to administrator
อันนี้เป้นการทำงานตามหน้าที่ครับ อย่าไปยุ่งเกี่ยวกัน เพราะว่าแค่เราสร้าง application ก็แย่แล้ว ให้ทาง system admin ของเขาไปครับ เพราะว่าผู้ที่เชี่ยวชาญกว่าย่อมจะทำงานได้ดีกว่าครับ
14. Keep application log
ข้อนี้สำคัญเมื่อระบบมีปัญหา หรือต้องการดูการทำงานของระบบ แต่การเก็บ Log นั้นควรที่จะมี pattern ที่เหมาะสมและเป้นมาตรฐาน ไม่เช่นนั้นก็เหมือนไม่มีครับ
Log file ควรจะประกอบไปด้วย
- userid , username, time stamp, session id, ip address, major parameter, action, result เป็นต้น
15. Don't use hiding technique
ไม่ควรใช้เทคนิคที่ลึกลับหรือว่าหลบซ่อน แอบแปะ เช่นการใช้ iframe หรือการ upload file หรือการ link ไปยัง page อื่นๆ เนื่องจากทาง browser นั้นจะแสดงข้อมูลทั้งหมด
ตัวอย่างถ้าเรามีการ authentication ในหน้าหนึ่งๆ แล้วนั้น link หรือ page ที่เกี่ยวข้องก้ควรที่จะทำการ authenticate ด้วย ไม่มีการแอบแปะเป็นอันขาด เนื่องจากเปิดช่องให้ถูกดจมตีได้
16. Don't keep user and password in clear-text ( Anywhere )
ข้อนี้เหมือนข้อที่ผ่านๆ มาครับ user/password ที่เก็บไว้ในทุกๆ ที่ของระบบ ควรที่จะทำการ encrypt ไว้ครับ เช่นใน code, file, database เป็นต้นครับ
ที่มา : คลิกตรงนี้ครับ
 
| Create Date : 25 กุมภาพันธ์ 2550 |
| Last Update : 25 กุมภาพันธ์ 2550 0:48:57 น. |
|
0 comments
|
| Counter : 348 Pageviews. |
 |
|
|
|
|
|
|
ใช้ๆ ไป ให้คุ้มค่านะ ชีวิต
|
|
|
|
|
|
|
|
| |
|
|
ฝากข้อความหลังไมค์
Rss Feed
ผู้ติดตามบล็อก : 1 คน [