简评:开发安全可靠的 Web 应用程序非常困难,非常困难。
作者有 14 年开发安全 Web 应用程序的经验,这个列表包含了作者在这段时间内学到的一些重要问题, 希望每个人在创建 Web 应用程序时都能够认真考虑一下。
Database
- 加密识别用户或敏感信息的数据(如访问令牌 token,电子邮件地址或计费详细信息)。(这将限制精确匹配查找)
- 如果您的数据库支持低成本的空闲时加密(如AWS Aurora),则可以使其保护磁盘上的数据。确保所有备份都被加密存储。
- 对数据库访问用户帐户使用最小权限,不要使用数据库 root 帐户,并检查未使用的帐户和密码不正确的帐户。
- 使用为此目的设计的 key store 来存储和分发 secret,不要硬编码。
- 通过使用 SQL 预处理语句完全防止 SQL 注入,例如:如果使用 NPM,不要使用 npm-mysql,请使用支持预处理语句的 npm-mysql2。
**Authentication **
- 确保使用适当的加密算法(如 bcrypt)对所有的密码进行摘要处理,不要自己实现加密模块,并用正确的随机数据正确地初始化加密模块。
- 使用最佳实践和经过验证的组件进行登录、忘记密码和密码重置,不要自己去实现。
- 实现简单但足够的密码规则,鼓励用户使用长且随机的密码。
- 为您的所有服务使用多步身份验证(一般都是两步验证)。
Denial of Service Protection
- 确保 DOS 攻击 API 不会影响到网站,至少在较慢的 API 路径和身份验证相关的 API(如登录和令牌生成例程)上设置限速,考虑在前端 API 上使用验证码的来保护后端服务免受DOS 攻击。
- 对用户提交的数据和请求的大小和结构执行健全限制。
- 考虑使用全球缓存代理服务(如 CloudFlare)缓解 DDOS。
**Web Traffic **
- 对整个网站使用 TLS,而不仅仅是登录表单和响应。过渡性地,使用 strict-transport-security 请求头来强制所有请求使用 HTTPS。
- Cookie 必须是 httpOnly 和安全的,并且由路径和域限定。
- 使用无 ubsafe-* 后门的 CSP ,配置起来很痛苦,但值得。使用 CSP 的 Subresource Integrity 作为 CDN 内容。
- 在客户端响应中使用 X-Frame-Option,X-XSS-Protection 头。
- 使用 HSTS 响应强制仅允许 TLS 访问,将所有 HTTP 请求重定向到服务器上的 HTTPS 作为替代。
- 使用所有形式的 CSRF 令牌,并使用新的 SameSite Cookie 响应头。
APIs
- 确保您的公共 API 中无法枚举资源。
- 确保在使用您的 API 时,用户已经被完全验证和授权。
Validation and Encoding
- 在客户端进行输入验证以快速获得用户有效输入,但不要相信它,在显示之前始终对用户输入进行验证和转码。
- 使用服务器上的白名单验证每个用户输入的最后一个 bit,不要直接将用户内容注入到响应中,切勿在 SQL 语句或其他服务器端逻辑中使用不受信任的用户输入。
原文地址:Web Developer Security Checklist
扩展阅读:
Web 程序员进阶之路
