🔗 🤒 📜 Web開発のセキュリティ：チェックリスト 🕙 👆🏿 🥘

Netologiyaの編集者であるSvetlana Shapovalovaは、便利なだけでなく安全なアプリケーションの開発を好むWeb開発者向けのチェックリストを作成したMichael O'Brienの記事を改編しました。

安全で信頼できるクラウドベースのWebアプリケーションの開発は、非常に複雑な問題です。違った考え方をした場合、あなたはこの世界に属していないか、人生からまだ教訓を得られていません。

「最小実行可能製品」（ MVP-最小実行可能製品、約Transl。）のアイデアにすでに感染している場合、1か月で便利で安全な製品を作成できると考えてください。リリースする前によく考えてください。チェックリストを確認すると、多くの脆弱性が残っていることがわかります。

このような状況でできることは、製品がまだプロトタイプの段階にあり、完全な安全性がまだ保証されていないことをユーザーに正直に警告することです。

チェックリストは非常にシンプルで、まだ完全ではありません。私は14年以上にわたって安全なWebアプリケーションを開発しており、この間に遭遇した最も重要な問題をリストに含めました。製品を作成するときに、真剣に受け止めてくれることを願っています。

データベース

ユーザー識別データと機密データ（トークン、電子メールアドレス、支払いの詳細）を暗号化された形式で保存します。
データベースが格納されたデータの暗号化をサポートしている場合（AWS Auroraなど）、それを接続してディスク上のデータを保護します。すべてのバックアップも暗号化されていることを確認してください。
データベース内のユーザーアカウントにアクセスするには、最小の特権レベルを使用します。データベースのルートアカウントを使用しないでください。
この目的のために設計されたキーストアで機密データを保存および共有します。アプリケーションでハードコードを使用しないでください。
専用に準備されたSQLクエリを使用して、SQLインジェクションを防止します。たとえば、NPMを使用する場合は、npm-mysqlを使用せずに、準備された式をサポートするnpm-mysql2を使用します。

開発

実稼働環境に送信される各バージョンの脆弱性について、すべてのアプリケーションコンポーネントがチェックされていることを確認してください。これには、O / S、ライブラリ、およびパッケージが含まれます。検証は、CI-CDプロセスで自動化する必要があります（CI-継続的インテグレーション-継続的インテグレーション、CD-継続的デリバリー-継続的デリバリー、約Transl。）。
開発環境のセキュリティと運用サーバーのセキュリティの両方について同様に警戒してください。安全で分離された開発環境でソフトウェアを作成します。

身分証明書

すべてのパスワードが、bcryptなどの適切な暗号化機能を使用してハッシュされていることを確認してください。独自のハッシュ関数を作成したり、使用する暗号化ライブラリをランダムデータで正しく初期化しないでください。
ユーザーに長くて一意のパスワードの入力を促す、シンプルだが適切なパスワードルールを実装します。
すべてのサービスについて、多要素認証を使用してログインします。

DDoS保護

APIに対するDDoS攻撃がサイトに害を与えないようにしてください。少なくとも、ログインやトークン生成手順などのAPIボトルネックを保護してください。
ユーザー提供のデータとクエリのサイズと構造に合理的な制限を設けます。
CloudFlareのようなグローバルキャッシングプロキシサービスでDDoS攻撃を軽減します。 DDOS攻撃を受けているときにオンになり、通常モードではDNSルックアップとして機能します。

Webトラフィック

ログインおよび応答フォームだけでなく、サイト全体でTLSを使用します。 TLSをログインフォームとして使用しないでください。
Cookieは「セキュア」かつhttpOnlyである必要があり、スコープはパスとドメイン属性によって決定される必要があります。
CSP （コンテンツセキュリティポリシー）を使用して、安全でないバックドアを防止します。小麦粉の設定は価値があります。
クライアント応答でX-Frame-Option、X-XSS-Protectionヘッダーを使用します。
HSTSメカニズムを使用して、TLSプロトコルを介したアクセスを強制します。下位互換性のために、すべてのHTTP要求をサーバー上のHTTPSにリダイレクトします。
すべてのフォームでCSRFトークンを使用し、新しいSameSite Cookie応答ヘッダーを使用して、すべてのブラウザーでCSRFを1回だけキャプチャします。

API

APIにパブリックリソースがないことを確認してください。
APIを使用するときは、ユーザーが完全に識別および承認されていることを確認してください。

検証

迅速なユーザーフィードバックのためにクライアント側の入力検証を実行しますが、決して信頼しないでください。
サーバー上のホワイトリストを使用して、ユーザー入力のすべてのビットを確認します。応答にカスタムコンテンツを直接入力しないでください。 SQLクエリでユーザー入力を使用しないでください。

クラウド構成

すべてのサービスに開いているポートの最小数があることを確認してください。「あいまいさによるセキュリティ」の原則は完全な保護を提供しませんが、非標準ポートの使用は攻撃者の生活を少し複雑にします。
パブリックネットワークでは表示されないプライベートVPCでバックエンドデータベースをホストします。 AWSセキュリティグループとピアツーピアVPCを設定するときは非常に注意してください—サービスを不注意に公開してしまう可能性があります。
サービス間通信のために、個別のVPCとピアツーピアVPCで論理サービスを分離します。
すべてのサービスが最小限のIPアドレスのセットからのデータのみを受け入れるようにしてください。
アウトバウンドIPおよびポートトラフィックを制限して、APTとボットフィケーションを最小限に抑えます。
ルート認証情報ではなく、常にAWS IAMロールを使用します。
すべての従業員と開発者に最小限の権限を使用します。
スケジュールに従って定期的にパスワードとパスキーを変更します。

インフラ

ダウンタイムなしでアップグレードが行われ、ソフトウェアが自動的に更新されることを確認してください。
クラウドコンソールではなく、Terraformなどのツールを使用してインフラストラクチャを構築します。インフラストラクチャは「コード」として定義し、ボタンをクリックするだけで再作成する必要があります。
すべてのサービスに集中ログを使用します。ログへのアクセスまたはログの受信にSSHを使用しないでください。
ワンタイム診断以外のサービスでSSHを使用しないでください。通常、SSHを定期的に使用するということは、すべてを自動化する必要がなかったことを意味します。
AWSサービスグループでポート22を常に開いたままにしないでください。
パッチを適用してアップグレードする長期間有効なサーバーの代わりに、不変のホストを作成します。
侵入検知システムを使用して、APTを最小限に抑えます。

運営

未使用のサービスとサーバーをオフにします。最も安全なサーバーはシャットダウンサーバーです。

テスト中

プロジェクトと完成した実装の両方の監査を実施します。
侵入テストを行います-自分自身をハックし、他の誰かにあなたをクラックするように頼みます。

主なことは計画することです

脅威のモデリングを使用して、自分を保護するために必要なものを確認します。モデルは、考えられる脅威と考えられるすべての行為者をリストし、優先順位を付ける必要があります。
インシデントプランを作成します。いつかそれが必要になります。

出版社からの広告の分

私たちは商用ブログであるため、リンクなしではありません:)今回は、プログラム「 Profession Web-developer 」と「 Profession frontend-developer 」に2つをもたらしました。

Web開発に興味があり、体系的な方法で知識を受け取るのが好きな人のために、NetologiaはプログラムProfession Web Developerのセットをオープンしました。

コースで学習されるもの：

クロスブラウザーHTMLおよびCSSレイアウト。
レイアウトに基づくWebページのレイアウト。
PHPバックエンド開発。
MySQL
データベース構造の設計。
Javascript
AJAX。
インタラクティブなWebページを作成します。

トレーニング期間-6か月。 Yandex、Media Storm、CondéNastのスペシャリストが教えます。

クラスの開始は6月23日です。詳細はこちら→

また、フロントエンド開発スキルをゼロから習得することに重点を置いたコースである「フロントエンド開発者専門職」の募集もあります。

Web開発のセキュリティ：チェックリスト