我們都記得雅虎臭名昭著的安全漏洞事件。在2013年,有30億用戶的帳戶受到了網絡攻擊影響。此事件成為了史上其中一宗最大規模的安全漏洞事件。 這類型的新聞以廣泛的方式,標記了2017年。 8月份,信用評級機構Equifax被揭發了大規模的數據洩露,當中受影響人數達1.43億人。根據安全公司,Gemalto,在2017年上半年,在全球有約20億的個人記錄受到了盜竊。
這種安全漏洞事件將會繼續不斷發生,因為最新政府使用的黑客工具,意外流出,使得黑客更容易使用惡意軟件竊取公司的數據。根據網絡安全公司的報告,到2021年,由於網絡犯罪,全世界將不得不每年蒙受6萬億美元的損失,這甚至比全球非法毒品交易造成的損失還要多。
這些令人畏懼的數字顯示了為什麼在啟動之前任何類型的軟件,網絡是至關重要的。這裡有五個秘訣去建立一個安全的解決方案:
1.防止SQL攻擊
SQL攻擊是OWASP Top 10 Web應用程式漏洞列表中的主要漏洞之一。 OWASP手機應用安全項目開始的原因,是為開發人員提供一些威脅網絡應用程式安全性的常見因素。SQL攻擊非常常見,並且在不可信源在應用程序中輸入數據時發生。常用的入口點包括購物車,註冊表單和登錄表單。SQL攻擊
是常見的,因為SQL是所有數據庫使用的通用語言,並且不需要太多的專業知識。SQL攻擊允許黑客更改現有數據。黑客也可以披露和銷毀所有數據,甚至更糟的是可以成為服務器的管理員。開發人員可以通過查詢參數化(Query Parametrization)來阻止SQL注入,在這種情況下,服務器在執行請求之前處理請求,以便它知道它是什麼類型的查詢。
2.加密一切加密是保護應用程序最關鍵的一步。 2014年,黑客襲擊了eBay,盜取了100名eBay 員工的信息。黑客從那裡他們獲得了大約1.45億用戶的數據。有趣的是,黑客在公司沒有注意的情況下篡改了eBay的系統229天。 這種情況發生在低質量加密的情況下。攻擊者可以安裝被盜的證書(certificate),讓他們隱藏。當HTTPS解決方案無法訪問所有密鑰和證書時,這些流氓證書就無法被發現。 另外,值得一提的是,LinkedIn對其移動應用程式感到自滿。當公司推出新的日曆集成功能時,它將本地日曆數據公開地轉移到了互聯網上的LinkedIn服務器上,任何人都可以隨時查看 請參閱您的應用程序已加密,確保軟件和服務器之間的所有通信都通過HTTPS連接完成 3.確保密碼安全密碼安全在任何應用程序開發中都是至關重要的。 Adobe 2013年數據安全漏洞事件是有名的,事件起源於公司沒有安全地存儲密碼。通常,應用程序會存儲密碼未加密的錯誤,這使得它們更容易受到攻擊。
因此,您應該確保你的密碼不能從數據庫中恢復。要真正保護密碼,您可以使用密碼雜湊函數(cryptographic hash),以防止任何嘗混合和切碎輸入。 此外,您可以使用一種名為hash and salt的策略,從而將來自每個密碼的散列函数與一些被稱為’鹽‘(salt)的隨機添加混合在一起。
4.實施多因素認證
隨著世界正朝著多重要素驗證(multifactor authentication.)方向發展,僅使用密碼進行身份驗證就顯得過時了。 Google和Apple等許多網站和應用程序都提供多重要素驗證。支付應用程序Venmo及其安全漏洞事件證明了多重要素驗證
的重要性。 Venmo的一名客戶Griswold的賬戶受到了損害,他發現的時候只剩下3000美元。 雖然目前尚不清楚攻擊者是如何獲得訪問賬戶的,但Venmo因為不支持多重要素驗證而受到批評。
雙重要素驗證的最常見形式是通過手機應用程序。 但是,它不太安全。 最近,Twitter更新了平台的安全性,允許用戶實施第三方認證。 Twitter用戶現在可以使用Google Authenticator等第三方應用進行驗證。
5.進行安全審計
所以,你認為你已經盡了一切來保護你的應用程式,並且對任何攻擊都是免疫的? 再想一想。 您也可能已經測試並重新測試了您的軟件,但並不能保證您的安全性是無懈可擊的。 這是因為開發人員自己編寫代碼,這使得他們更容易忽視或忽視具體的因素。 這就是為什麼有必要從不同的角度來看你的解決方案。
要進行成功的審計,您首先需要確定您的要求是什麼。 此外,您需要確定您的應用程序可能容易受到的風險類型,以便設計適當的測試。 您也可以使用自動工具進行工作。 這些工具顯著降低了成本,並增加了覆蓋範圍。
總結隨著世界變得越來越密切,我們對軟件解決方案的依賴越來越大。而且,隨著網絡犯罪的興起,任何網絡應用程序都無法生存,特別是PayPal,AliPay,Venmo等支付系統。網絡安全日益變得更具挑戰性,因為黑客越來越聰明,越來越複雜。黑帽常常在安全白帽之前。 一個有經驗的黑客只需要 10分鐘來破解一個六字符的密碼。 這些網絡盜竊行為使他們做了很多事情,並且不會很快停止。 由於市場上有大量的選項可供選擇,並且開關費用較低,所以客戶在選擇另一種解決方案而不是您自己之前不要猶豫。一旦聲譽受損,很難從中恢復過來。 這篇客人的文章是由阿什利羅莎貢獻。她是一名自由作家和博客作家。寫作是她的熱情,為什麼她喜歡寫關於最新的技術趨勢的文章,有時候也寫一些關於健康技術的文章。
Link :http://techacute.com/5-tips-develop-secure-application/