I'm thinking what am I THINK?
Group Blog
 
All Blogs
 

Secure Application Development

" Web ไม่ได้ถูกสร้างมาเพื่อสำหรับการ run application มันเป็นเพียงการแสดงผลแบบ static เท่านั้น " ดังนั้นถ้าเราเอามา run application แล้วนั้นมันย่อมมีปัญหาอย่างแน่นอน "

Firewall นั้นไม่สามารถที่จะ block การโจมตีในระดับ application ได้ ดังนั้นเราจึงต้องมา focus ที่ applocation ครับ

จากคำพูดข้างต้นจึงต้องมีการแก้ไขปัญหาเบื้องต้นตามข้อสรุปครับ
16 ข้อที่ควรจะทำในการพัฒนา Web Application

1. Don't hard code user and password
อย่าทำการ hard code พวก user/password หรือ ข้อมูลที่สำคัญในระบบ ทั้ง client side และ server side ควรที่จะเห็บไว้ใน file หรือที่ๆ ไม่สามารถ access ผ่านจาก web ได้

2. Don't store backup files on production server
การ backup ไม่ควรที่จะไว้บน production server และ ไม่สามารถ access ผ่าน web ได้ ไม่เช่นนั้นจะโดน Forceful browsing attack ได้

3. Don't give too much information
อย่าแสดงข้อมูลเกี่ยวกับระบบมากเกินไป เช่น ในการ login เข้าระบบ ถ้าเกิด error ขึ้นก็บอกไปเพียง User or password incorrect. เท่านั้นก็พอ รวมทั้งใช้ Security Code มาช่วย เนื่องจากการแสดงข้อมูลมากเกินไปนั้นจะเป็นเบาะแสในการเจาะเข้าระบบ

4. Don't use hidden filed
ในระบบ web application ไม่ควรที่จะใช้ hidden file เนื่องจาก user สามารถเห็นได้ว่ามี hidden filed value อะไรบ้าง ซึ่งทาง user สามารถได้โปรแกรมมาทำการแก้ไขข้อมูลก่อนส่งไปยัง server ได้ ทำให้ข้อมุลที่ผิดเข้าไปยัง server ได้ แต่ว่าสามารถแก้ปัญหานี้ได้จาก ข้อ 5

5. Alway validate input
จะต้อง Validate input ทั้งฝั่ง client side และ server side ตลอด เนื่องจากข้อมูลที่ส่งมาจาก client สามารถถูกดักจับและแก้ไขได้ ก่อนที่จะส่งมายัง server ตัวอย่างเช่น ถ้าข้อมูลการซื้อขายถูกแก้ไขแล้ว ใน server ไม่มีการ validate แล้วนั้น คิดดูจะเกิดอะไรขึ้น

6. Don't use GET method
เนื่องจาก GET method นั้นจะแสดงผลข้อมุลที่ส่งไปยัง server ทั้งหมดใน url ดังนั้น user สามารถแก้ไขข้อมูลได้อย่างง่ายดาย

7. Don't rely on single-factor session ID
จะเกี่ยวกับการจัดการ Session ( Session Management ) โดยจะจัดการ session ผ่าน session id ส่วนการ implemnet session นั้นจะใช้ url( jsessionid ) ,hidden field, cookies ปัญหาในการจัดการด้วย seesion นั้นเกิดขึ้นเนื่องจาก user สามารถเห็น seesion id ได้ ยิ่งถ้าได้ session id ของ user อื่นมาแล้วนั้นก้สามารถเป้นคนๆ นั้นได้เลย

ดังนั้นในการแก้ไขในปัจจุบันนั้นจะไช้ information ต่างๆ มากกว่า session id มา implement หรือในปัจจุบันจะใช้ token, ticket มาช่วย ซึ่งจะทำให้ยากแก่การขโมย รวมทั้งมีการ encrypt มาช่วยด้วย

8. Don't keep any secret in Cookies
อย่าเก้บข้อมูลที่มีความสำคัญหรือความสำคัญไว้ใน cookies เนื่องจาก user สามารถแก้ไข cookies ได้ แต่ถ้าจะใช้เราควรที่จะ encrypt ข้อมูล ( ไม่ใช้ encoding นะครับ )

9. Don't communicate important information in clear-text
ข้อมูลที่มีความสำคัญนั้นควรที่จะ encrypt เสมอ ในทุกๆ layer เนื่องจากเราอย่าคิดว่าระบบจะไม่ถูกเจาะ
โดยแบ่งเป้น
- Confidential ( ความลับ ) เช่น user/password, credit cart number, account number เป็นต้น
- Intrgrity ( ความถูกต้อง )เช่น ราคาม ปริมาณของสินค้า เป็นต้น

10. Don't take note on the web page
ใน source code อย่าทำการ commment เช่นใน JSP, PHP, ASP page เนื่องจาดจะเป็นเบาะแสของการเจาะเข้าระบบได้ครับ

11. Don't show system error message
ข้อนี้สำคัญครับ เนื่องจากทาง user จะรู้ทันทีว่า server ที่ใช้คืออะไร database คืออะไร เท่านั้น user ก้รู้แล้วว่าจะโจมตีอย่างไรครับ

12. Don't use client's input as an command
ตรงนี้ก้คือปัญหาพวก SQL Injection ครับ

13. Left system administration to administrator
อันนี้เป้นการทำงานตามหน้าที่ครับ อย่าไปยุ่งเกี่ยวกัน เพราะว่าแค่เราสร้าง application ก็แย่แล้ว ให้ทาง system admin ของเขาไปครับ เพราะว่าผู้ที่เชี่ยวชาญกว่าย่อมจะทำงานได้ดีกว่าครับ

14. Keep application log
ข้อนี้สำคัญเมื่อระบบมีปัญหา หรือต้องการดูการทำงานของระบบ แต่การเก็บ Log นั้นควรที่จะมี pattern ที่เหมาะสมและเป้นมาตรฐาน ไม่เช่นนั้นก็เหมือนไม่มีครับ
Log file ควรจะประกอบไปด้วย
- userid , username, time stamp, session id, ip address, major parameter, action, result เป็นต้น

15. Don't use hiding technique
ไม่ควรใช้เทคนิคที่ลึกลับหรือว่าหลบซ่อน แอบแปะ เช่นการใช้ iframe หรือการ upload file หรือการ link ไปยัง page อื่นๆ เนื่องจากทาง browser นั้นจะแสดงข้อมูลทั้งหมด

ตัวอย่างถ้าเรามีการ authentication ในหน้าหนึ่งๆ แล้วนั้น link หรือ page ที่เกี่ยวข้องก้ควรที่จะทำการ authenticate ด้วย ไม่มีการแอบแปะเป็นอันขาด เนื่องจากเปิดช่องให้ถูกดจมตีได้

16. Don't keep user and password in clear-text ( Anywhere )
ข้อนี้เหมือนข้อที่ผ่านๆ มาครับ user/password ที่เก็บไว้ในทุกๆ ที่ของระบบ ควรที่จะทำการ encrypt ไว้ครับ เช่นใน code, file, database เป็นต้นครับ

ที่มา : คลิกตรงนี้ครับ




 

Create Date : 25 กุมภาพันธ์ 2550    
Last Update : 25 กุมภาพันธ์ 2550 0:48:57 น.
Counter : 147 Pageviews.  

เทคนิคการเขียนโปรแกรม 50 ข้อครับ

1.โปรแกรมแบบพอเพียง(ทำอะไรให้เล็กที่สุดเท่าที่เป็น ไปได้)

2.ทำสิ่งธรรมดาให้ง่าย ทำสิ่งยากให้เป็นไปได้

3.จงโปรแกรมโดยนึกว่าจะมีคนมาทำต่ออย่างแน่นอน

4.ระเบียบ กฏข้อบังคับ เชื่อมั่นไม่ได้แล้ว ถ้ามีเพียงหนึ่งโมดูลไม่ปฏิบัติตาม

5.ตัดสินใจให้ดีระหว่างความชัดเจน(clearance) กับ การขยายได้(extensibility)

6.อย่าเชื่อมั่น output จากโมดูลอื่น ถึงแม้เราจะเป็นคนเขียนเอง

7.ถ้าคนเขียนยังเข้าใจได้ยาก แล้วคนอ่านจะเข้าใจได้ยากกว่าแค่ไหน

8.ค้นหาข้อมูลสามวันแล้วทำหนึ่งวัน หรือจะทำสามวันแล้วแก้บั๊กตลอดไป

9.จงสร้างเครื่องมือ ก่อนทำงาน

10.อย่าโทษโมดูลอื่นก่อน โดยเฉพาะถ้าโมดูลอื่นเป็น OS และ Compiler

11.พยายามทำตามกฏ แต่ถ้ามีข้อยกเว้น ต้องมีอย่างหลีกเลี่ยงไม่ได้ แล้วประกาศและตะโกนให้ดังที่สุด

12.High cohesion Loose coupling. (ยึดเกาะให้สูงสุดในโมดูล และ เกาะเกี่ยวกับโมดูลอื่นให้น้อยที่สุด)

13.ให้สิ่งที่เกี่ยวข้องกันยิ่งมากอยู่ไกล้กันมากที่ สุด

14.อย่าเชื่อโดยไม่พิสูจน์

15.อย่าลองทำแล้วคอมไพล์ดู ถ้าเราไม่ได้คาดหวังผลลัพธ์อะไรไว้ (อย่างเช่นปัญหา index off by one)

16.จงกระจายความรู้เพราะนั่นคือการทำ Unit Test ระดับล่างสุด(ระดับความคิด)

17.อย่าเอาทุกอย่างใส่ใน UI เพราะ UI คือส่วนที่ Unit Test ได้ยาก

18.ทั้งโปรเจ็คต์ควรไปในทางเดียวกันมากที่สุด( Consistency )

19.ถ้ามีสิ่งที่ดีอยู่แล้วจงใช้มัน อย่าเขียนเอง ถ้าจำเป็นต้องเขียนเอง ให้ศึกษาจากข้อผิดพลาดในอดีตก่อน

20.อย่ามั่นใจเอาโค้ดไปใช้จนกว่าจะ test อย่างเพียงพอ

21.เอาโค้ดที่ test ไว้ที่เดียวกันกับโค้ดที่ถูก test เสมอ

22.ทุกครั้งที่แก้ไขโค้ดให้ run unit test ทุกครั้ง

23.จงใช้ Unit Test แต่อย่าเชื่อมั่นทุกอย่างใน Unit Test เพราะ Unit Test ก็ผิดได้

24.ถ้าต้องทำอะไรที่ซ้ำกันมากกว่าหนึ่งครั้ง ก็เพียงพอแล้วที่จะแยกโค้ดส่วนนั้นออก

25.ทำให้ใช้งานได้ก่อน แล้วค่อย optimize และถ้าไม่จำเป็น อย่าoptimize

26.ยิ่งประสิทธิภาพเพิ่ม ความเข้าใจง่ายจะลดลง

27.ใช้ Design Pattern ที่เป็นที่รู้จักจะได้คุยกับใครได้รู้เรื่อง

28.อย่าเก็บไว้ทำทีหลัง ถ้ายังไงก็ต้องทำ

29.MutiThreading ไม่ใช่แค่การเพิ่มประสิทธิภาพ แต่มันมาพร้อมกับ Concerency, Deadlock, IsolationLevel, Hard to debug, Undeterministic Errors.

30.จงทำอย่างโจ่งแจ้ง

31.อย่าเพิ่ม technology โดยไม่จำเป็น เพราะนั่นทำให้โปรแกรมเมอร์ต้องวุ่นวายมากขึ้น

32.จงทำโปรเจ็คต์ โดยคิดว่าความเปลี่ยนแปลงเกิดขึ้นได้เสมอ

33.อย่าย่อชื่อตัวแปรถ้าไม่จำเป็น เดี๋ยวนี้ IDE มันช่วยขึ้นเยอะแล้วไม่ต้องพิมพ์เองแค่ dot มันก็ขึ้นมาให้เลือก

34.อย่าใช้ i, j , k , result, index , name, param เป็นชื่อตัวแปร

35.ทำโค้ดที่ต้องสื่อสารผ่านเครือข่ายให้คุยกันน้อยท ี่สุด

36.แบ่งแยกดีดี ระหว่าง Exception message ในแต่ละเลเยอร์ ว่าต้องการบอกผู้ใช้ หรือ บอกโปรแกรมเมอร์

37.ที่ระดับ UI ต้องมี catch all exception เสมอเพื่อกรอง Exception ที่ลืมดักจับ

38.ระวัง คอลัมภ์ allow null ใน database ดีดี ค่า มัน convert ไม่ได้

39. อย่าลืมว่า Database เป็น global variable ประเภทหนึ่ง แต่ละโปรแกรมที่ติดต่อเปรียบเหมือน MultiThreading ดังนั้นกฏของ Multithreading ต้องกระทำเมื่อทำงานกับ Database

40.ระวังอย่าให้ logic if then else ซ้อนกันมากมาก เพราะสมองคนไม่ใช่ CPU จินตนาการไม่ออกหรอกว่ามันอยู่ตรงไหนเวลา Debug (ถ้ามากกว่าสามชั้นก็ลองคิดใหม่ดูว่าเขียนแบบอื่นได้ มั้ย)

41.ระวังอย่าให้ลูปซ้อนกันมากมาก ไม่ใช่แค่เรื่องความเร็วอย่างเดียว เวลา Debug เราคิดตามมันไม่ได้ (ถ้าเกินสามชั้นก็ไม่ไหวแล้ว)

42. อย่าใช้ Magic Number ใน Code เช่น if( controlingValue == 4 ) เปลี่ยนไปใช้ Enum ดีกว่า เป็น if( controlingValue == ControllingState.NORMAL ) เข้าใจง่ายกว่ามั้ย

43.ถ้าจะเปรียบเทียบ string Trim ซ้ายขวาก่อนเสมอ

44.คิดหลายๆ ครั้งก่อนใช้ Trigger

45.โปรแกรมเมอร์คือห่วงโซ่สุดท้ายของมลพิษทางความซับ ซ้อน ดังนั้นหา project leader ดีดีแล้วกัน

46. มนุษย์ฉลาดกว่าคอมพิวเตอร์ การเขียนโปรแกรมก็คือการสอนให้คอมพิวเตอร์ฉลาดได้เหม ือนเรา (มนุษย์ฉลาดกว่าคอมพิวเตอร์จริงๆนะ)
Reply With Quote

47. จงควบคุมคอม มิใช่ให้คอมควบคุมเรา เราต้องสั่งให้คอมทำงาน ไม่ใช่ให้เราทำงานตามคอมสั่ง

48. อย่าปล่อยให้ข้อจำกัดของคอม มาจำกัดความคิดของเรา [คอมไม่ดีเปลี่ยนเครื่องเลย 55+]

49. ยอมรับความคิดของผู้อื่น แต่อย่าออกจากกรอบของตนเอง

50. หมั่น Save โปรแกรมไว้อย่าสม่ำเสมอ ก่อนที่จะไม่มีโอกาส Save [จะให้ดี Save เป็นแต่ละ Version เลย]


ที่มา

http://www.blognone.com/node/2286





 

Create Date : 02 กุมภาพันธ์ 2550    
Last Update : 2 กุมภาพันธ์ 2550 0:39:31 น.
Counter : 128 Pageviews.  


Friday_Evening
Location :


[Profile ทั้งหมด]

ให้ทิปเจ้าของ Blog [?]
ฝากข้อความหลังไมค์
Rss Feed

ผู้ติดตามบล็อก : 1 คน [?]




ครับ ตอนนี้กำลังเรียน Computer science ปี 4 อีก 3 เดือน ผมก็จะเปลี่ยนจากนักศึกษา เป็น พนักงานโปรแกรมเมอร์ของบริษัทแล้วครับ
ใช้ๆ ไป ให้คุ้มค่านะ ชีวิต
Friends' blogs
[Add Friday_Evening's blog to your web]
Links
 

 Pantip.com | PantipMarket.com | Pantown.com | © 2004 BlogGang.com allrights reserved.