Enam Kesalahan yang Bisa Mengancam Keamanan Dari Aplikasi Web Anda
Enam Kesalahan yang Bisa Mengancam Keamanan Dari Aplikasi Web Anda
Daftar Isi
Ketika datang ke pemantauan keamanan aplikasi web perusahaan Anda, tidak ada detail (tidak peduli seberapa kecil) dapat diabaikan. Setelah semua, hanya dibutuhkan satu kerentanan untuk mencatat bisnis Anda dan kompromi data sensitif pelanggan Anda ‘.
Di sini, enam ahli teknologi dari Forbes Dewan Teknologi berbagi perangkap untuk menghindari ketika mengevaluasi apakah bisnis ‘taktik keamanan web Anda cukup untuk menggagalkan seorang calon hacker.
1. Tidak Menggunakan Dua-Factor Authentication
Upaya phishing dan serangan serupa masih sangat sukses. Jangan menjadi sasaran empuk – mengaktifkan otentikasi dua faktor dan membangunnya menjadi web aplikasi Anda mengembangkan. Google Authenticator hanya butuh jam untuk mengintegrasikan, atau Anda selalu dapat membangun sistem dua-faktor berbasis SMS Anda sendiri menggunakan Twilio. Apakah itu yourapp atau tidak, penggunaan otentikasi dua faktor akan menghentikan penyerang bahkan jika mereka memiliki password yang valid. – Brian Fritton, Patch of Land
Searah jarum jam dari kiri atas: Nama, Nama, Nama, Nama, Nama, Nama. Semua foto milik anggota individu.
Searah jarum jam dari kiri atas: Taylor Dondich, Mike Anthony, Hubert Liu, Ashley Saddul, Brian Fritton, Gurpreet Singh. Semua foto milik anggota individu.
2. Tidak Berpikir Tentang Keamanan sebagai Bagian dari Proses Pembangunan
Keamanan, seperti pengujian, harus dibangun ke dalam proses pembangunan. Setiap insinyur harus memiliki pemahaman mendasar tentang praktik terbaik keamanan (umum, tetapi juga khusus untuk tumpukan teknologi mereka). Keamanan seharusnya tidak menjadi renungan atau perbaikan yang bagus untuk dimiliki, melainkan sepotong integral dari siklus pengembangan. – Hubert Liu, Rigor
3. Tidak Menggunakan SANS Institute Kontrol Kritis
Sebuah ancaman keamanan umum adalah hilangnya informasi sensitif terhadap hacker memanfaatkan malware yang disampaikan melalui lampiran email. Ancaman ini bisa dikalahkan dengan menggunakan SANS Institute Critical Control 5: Pertahanan Malware, yang membutuhkan scanning untuk kode berbahaya di lampiran email berusaha menyeberangi email gateway jaringan, sehingga mencegah file yang terinfeksi dari mencapai target mereka. – Mike Anthony, IQity Solutions, LLC
4. Tidak Menegakkan Tindakan Keamanan Secara konsisten
Salah satu kebutuhan untuk menjadi proaktif tentang keamanan, tidak reaktif. Kami telah menetapkan standar pengembangan yang ketat untuk aplikasi kami, tapi itu sulit untuk menegakkan mereka tanpa bogging bawah proyek. Kami melihat cek, dan review bidang aplikasi yang kita rasakan adalah yang paling rentan, tetapi sering menunda setiap mendalam penilaian sistem. Kita cenderung percaya insinyur senior kami untuk melakukan hal yang benar. – Ashley Saddul, Recruiter.com
5. Memberikan Terlalu Banyak Informasi Tentang Apa Yang Anda Menjalankan
Banyak web server dan aplikasi “mengumumkan” sendiri saat menyampaikan aplikasi web Anda melalui meta tag dan tanda tangan Server. Penyerang dapat menggunakan informasi ini untuk memanfaatkan vektor serangan dikenal. Menemukan dokumentasi untuk aplikasi stack Anda untuk menonaktifkan fitur ini, yang akan membuat penyerang Anda pada orang buta. – Taylor Dondich, MaxCDN
6. Tidak Meninjau Source Code Benar-benar cukup
Beberapa kesalahan tidak terdeteksi dengan pengujian penetrasi sederhana, tapi segar bermata baris demi baris ulasan dari kode sumber dapat menangkap kebocoran memori dan kesalahan lain yang dapat membentuk tumit Achilles dan membuat sistem anda rentan terhadap pelanggaran kode jauh data mencuri. Ulasan kode software membantu juga, dan review over-the-shoulder dengan seorang rekan adalah proses yang tidak menyakitkan. – Gurpreet Singh, TalkLocal