Bleiben Sie auf dem neuesten Stand der sicheren Codierung.
Die Cyber-Bedrohungslandschaft verändert sich ständig und es ist wichtiger denn je, der Zeit immer einen Schritt voraus zu sein. Mit einer Reihe von Videos, Blogs und praktischen Richtlinien zur sicheren Codierung können wir Ihnen helfen, Sie auf dem Laufenden zu halten und auf die nächsten Entwicklungen vorbereitet zu sein.
Unsere neuesten Richtlinien für sichere Codierung.
{
"dependencies": {
"foo": "1.0.0 - 2.9999.9999",
"bar": ">=1.0.2 <2.1.2"
}
}
Verwendung von Komponenten mit bekannten Sicherheitslücken
{
"dependencies": {
"foo": "1.0.0 - 2.9999.9999",
"bar": ">=1.0.2 <2.1.2"
}
}
Die meisten Anwendungen nutzen eine große Anzahl von Komponenten von Drittanbietern. Diese Komponenten bieten alles von der Protokollierung über die Schablonenerstellung bis hin zum Datenbankzugriff und mehr. Das macht die Entwicklung von Software viel einfacher und spart eine Menge Zeit. Aber sie werden auch von Menschen gemacht, was bedeutet, dass einige unweigerlich Schwachstellen enthalten. Lesen Sie den Leitfaden, um mehr darüber zu erfahren.
import mysql.connector
db = mysql.connector.connect
#Bad Practice. Vermeiden Sie dies! Dies ist nur zum Lernen.
(host="localhost", user="newuser", passwd="pass", db="sample")
cur = db.cursor()
name = raw_input('Enter Name: ')
cur.execute("SELECT * FROM sample_data WHERE Name = '%s';" % name) for row in cur.fetchall(): print(row)
db.close()
SQL-Einschleusung
import mysql.connector
db = mysql.connector.connect
#Bad Practice. Vermeiden Sie dies! Dies ist nur zum Lernen.
(host="localhost", user="newuser", passwd="pass", db="sample")
cur = db.cursor()
name = raw_input('Enter Name: ')
cur.execute("SELECT * FROM sample_data WHERE Name = '%s';" % name) for row in cur.fetchall(): print(row)
db.close()
SQL-Injection (SQLi) injiziert Code in SQL-Anweisungen, um wichtige Informationen aus einer Anwendung zu sammeln. Es handelt sich um eine Sicherheitslücke im Web. Es handelt sich um die häufigste Hacking-Technik, bei der die Datenbank manipuliert und wichtige Informationen aus ihr extrahiert werden.
Viele Frameworks verfügen auch über eine Reihe von Endpunkten, die für die Überwachung der Anwendung aktiviert werden können, unabhängig davon, ob es sich um eine Produktions- oder Test-/Entwicklungsumgebung handelt. Dazu können gehören:
Metrics (Prometheus)
Logs
Umgebungsinformationen
Path/Url Mappings
Sicherheit Fehlkonfiguration
Viele Frameworks verfügen auch über eine Reihe von Endpunkten, die für die Überwachung der Anwendung aktiviert werden können, unabhängig davon, ob es sich um eine Produktions- oder Test-/Entwicklungsumgebung handelt. Dazu können gehören:
Metrics (Prometheus)
Logs
Umgebungsinformationen
Path/Url Mappings
Der Begriff "Sicherheitsfehlkonfiguration" ist eine Art Oberbegriff für allgemeine Schwachstellen, die nicht durch fehlerhaften Code, sondern durch die Konfigurationseinstellungen einer Anwendung verursacht werden. Es handelt sich um ein weitreichendes Thema, das stark von Faktoren wie Ihrem Technologie-Stack abhängig ist. Oft ist die Behebung dieser Probleme etwas scheinbar Einfaches, wie die Änderung einer Konfigurationsdatei oder sogar einer einzigen Codezeile, aber die Auswirkungen und Folgen dieser Schwachstellen können schwerwiegend sein. Lesen Sie unseren Leitfaden, um mehr über diese Schwachstelle und ihre Behebung zu erfahren.
ts
let url = request.params.url;
let response = http.get(url);
let render = response.render();
return render.export();
Server-seitige Anforderungsfälschung
ts
let url = request.params.url;
let response = http.get(url);
let render = response.render();
return render.export();
Server-Side Request Forgery-Schwachstellen treten auf, wenn ein Benutzer eine Anwendung dazu veranlassen kann, HTTP-Anfragen an eine vom Angreifer bestimmte Domäne zu stellen. Wenn eine Anwendung Zugriff auf private/interne Netzwerke hat, könnte ein Angreifer die Anwendung auch dazu bringen, Anfragen an interne Server zu stellen. In diesem Leitfaden werden wir uns dies anhand einiger Beispiele genauer ansehen, um besser zu verstehen, wie dies in der Praxis aussieht.
Sichere Codierungsmissionen in der realen Welt.
Erkunden Sie unsere Bibliothek mit öffentlichen Trainingsübungen. In diesen SCW-Missionen zum Beispiel erhalten Sie praktische Erfahrungen mit einigen anstößigen Methoden zur sicheren Codierung in einer realen App-Simulation.
