Оригинальная и последняя версия этого поста ( Как изучить безопасность веб -приложений ) можно найти в Программирование утки .
Обучение безопасности веб -приложений не должно быть болезненным. На самом деле, я думаю, что это такая же, как и любая другая тема, и это даже не займет много времени. Есть несколько ресурсов, за которыми легко следить и учиться, особенно если вы хотите изучить основы веб -безопасности.
Почему разработчики должны узнать о безопасности веб -приложений?
Каждое приложение должно быть безопасным, потому что каждое приложение может и будет подвергаться атакованию абсолютно любым способом, особенно потому, что оно становится более популярным. Вероятно, есть сотни способов атаковать приложение, и абсолютно что угодно может быть атаковано.
Поэтому, по крайней мере, знание того, как избежать самых серьезных уязвимостей безопасности, имеет важное значение.
Теперь, если у компании есть специалисты по безопасности, то, возможно, разработчикам не нужно знать так много. Специалисты будут там в качестве резервной копии, чтобы сказать: «Эй, нам нужно проверить ввод формы здесь и избежать ее здесь».
Однако, если у компании не есть специалисты по безопасности, то разработчики не соответствуют нам, чтобы убедиться, что приложение безопасно. Несмотря на это, даже со специалистами по безопасности, разработчикам всегда лучше знать безопасность. Таким образом, мы можем сами защищать от самых важных уязвимостей безопасности. Затем специалисты по безопасности могут выступать в качестве подкрепления, а не нашего единственного уровня защиты.
Сколько нам нужно знать о безопасности веб -приложений?
Важно знать, по крайней мере, некоторые основы.
Больше лучше, и более высокопоставленные разработчики и/или архитекторы в компании, вероятно, ожидают, что об этом много узнают.
Тем не менее, может не потребоваться все это знать. Как и большинство других вещей в программировании, если мы знаем, о чем нам нужно знать, то мы всегда можем искать вещи, когда нам нужно. Мы также можем использовать контрольные списки безопасности или даже привлечь третьих лиц и экспертов для проверки нашего приложения и дать нам больше инструкций.
Ресурсы для обучения безопасности веб -приложений
Вот ресурсы, которые я использовал, чтобы изучить безопасность веб -приложений в качестве разработчика. Я нашел их всех очень хорошими, и я очень рекомендую их.
1. Frontend Masters — Веб -безопасность с Майком Нортом .
Я люблю Frontend Masters Анкет Я считаю, что их курсы являются лучшими введениями в темы. Курс веб -безопасности с Майком Нортом ничем не отличается.
Это действительно хорошее введение в веб -безопасность для разработчиков фронта. Это решает очень важные вопросы. Я бы посоветовал пропустить этот курс, только если вы вообще не выполняете веб -разработку фронта.
Это всего лишь несколько часов, так что это не займет много времени.
2. Основы безопасности веб -приложений Мартина Фаулера .
Эта статья потрясающая. Это довольно долго и может занять от часа до нескольких часов.
Он учит самым насущным проблемам безопасности для веб -разработки в целом, как для фронта, так и для бэк -конца. Я очень рекомендую это для всех.
Кроме того, если вы не хотите изучить безопасность веб -приложений, или есть что -то конкретное, что вы все еще хотите изучить, я думаю, что остановка здесь в порядке.
3. Owasp -шпаргалка серия .
Следующая работа — большая работа, но если вы действительно хотите узнать тонну о безопасности веб -приложений, перейдите на эту страницу и прочитайте чит -листы.
Вы можете пропустить те, которые не имеют отношения к вам. Вы также можете прочитать, что вы хотите. И вы также можете просто выбрать один или два и прочитать их. Все, что вы читаете, будет полезным знанием. Если вы не уверены, какие из них читать, лучше всего расставить приоритеты, связанные с OWASP TOP 10 Анкет
Но в целом в этой серии, вероятно, есть все, что вам когда -либо нужно знать о безопасности веб -приложений. Все остальное, вероятно, лучше оставить специалистам по безопасности, чтобы проверить и рассказать вам о.
Также прочитайте эту страницу на Безопасность по принципам дизайна Чтобы понять некоторые из основных принципов безопасности.
4. Ссылки для более подробной информации.
Предыдущие ресурсы более чем достаточно, но если вам нужны дополнительные данные о определенных вещах, вы можете проверить:
Например, если вы хотите узнать больше о файлах cookie, о том, как они работают, и их настройки, вы можете проверить Страница cookie mdn Анкет
Или, если вам нужна более подробная информация о CSP (политика безопасности контента), вы можете проверить Страница CSP на разработчиках Google или Страница CSP на MDN Анкет
Что делать дальше
Ну, на самом деле у меня нет личного опыта в том, как продолжить дальше. Если кто -то в комментариях хочет выйти, пожалуйста, продолжайте.
Однако я думаю, что некоторые из следующих шагов могут быть:
- Чтение больше статей из OWASP Анкет
- Изучение инструментов мониторинга и оповещения (например, splunk ), сканеры уязвимости (такие как arachni ) и т. Д.
- Изучение некоторых DevOps. Особенно настройка серверов и брандмауэров.
- Изучение некоторого базового тестирования проникновения (поиск «Проблемы и лабораторий по панестированию») или даже продвижение к официальной кибербезопасности (более широкое поле, чем просто безопасность приложений) и сертификаты тестирования проникновения.
Это все, что у меня есть. Пожалуйста, прокомментируйте, если у вас есть какие -либо комментарии или предложения, особенно если вы хотите поделиться большим количеством ресурсов, которые, по вашему мнению, будут полезны для начинающих.
Оригинал: «https://dev.to/programmingduck/how-to-learn-web-application-security-2ji1»