मैं लगभग एक वेब अनुप्रयोग समाप्त कर रहा हूँ। मुझे इसका परीक्षण करने और इसे जारी करने से पहले सुरक्षा मुद्दों को खोजने की ज़रूरत है। क्या इस तरह के परीक्षण करने के लिए कोई तरीका/दिशानिर्देश है? या क्या मेरे आवेदन की जांच करने के लिए कोई उपकरण है जो मेरा आवेदन ऑनलाइन जाने के लिए तैयार है? धन्यवाद।वेब एप्लिकेशन जारी करने से पहले मुझे क्या जांचना चाहिए?
उत्तर
मैं कहूंगा:
- जाँच नहीं चेतावनी या यहाँ तक कि सख्त मोड (त्रुटि रिपोर्ट) में त्रुटियों देखते हैं कि।
- यदि आप किसी भी संवेदनशील डेटा को स्टोर करते हैं (जैसे पासवर्ड, क्रेडिट कार्ड इत्यादि) सुनिश्चित करें कि वे गैर-मानक एल्गोरिदम के साथ एन्क्रिप्ट किए गए हैं। एसएसएल का प्रयोग करें और इसके साथ किसी भी तरह से भयावह होने का प्रयास करें।
- कार्रवाई और होस्ट द्वारा विशिष्ट एक्सेस के साथ अपना डेटाबेस सेट करें, और रूट खाते का उपयोग न करें।
- संपूर्ण परीक्षण करें (जब संभव हो तो इकाई परीक्षण का उपयोग करें)। जितने लोग कर सकते हैं उतने लोगों को शामिल करें।
- इसे मुख्य ब्राउज़रों (फ़ायरफ़ॉक्स, क्रोम, ओपेरा, सफारी, आईई) के अंतर्गत परीक्षण करें और यदि दूसरों में समय है।
- मानकों (डब्ल्यू 3 सी) के खिलाफ अपने सभी एचटीएमएल/सीएसएस को मान्य करें। (अनुशंसित)
- आपके द्वारा उपयोग किए जा रहे प्लेटफ़ॉर्म पर निर्भर करता है, ऐसे प्रोफाइलर हैं जो आपके कोड में बाधाओं की पहचान करने में आपकी सहायता कर सकते हैं। (बाद के चरणों में किया जा सकता है)।
- अपने वेब सर्वर/स्क्रिप्ट भाषा के लिए ट्यून सेटिंग्स।
- सुनिश्चित करें कि यह खोज-इंजन अनुकूल है।
- एक बार प्रार्थना ऑनलाइन है :)
यह एक पूरी सूची के रूप में यह निर्भर करता है नहीं है:
- जो भाषा/मंच/वेब सर्वर का उपयोग कर रहे।
- आपने किस प्रकार का एप्लिकेशन विकसित किया (सामाजिक, वित्तीय, प्रबंधन, आदि)
- जो उस एप्लिकेशन का उपयोग करेगा (पूरी दुनिया, एक विशिष्ट कंपनी, आपका परिवार या सिर्फ आप)।
- क्या आप इसे बेचने जा रहे हैं? तो आपके पास कम से कम पिछले अंक होना चाहिए।
- आपका आवेदन बहुत संवेदनशील जानकारी (क्रेडिट कार्ड के रूप में) का उपयोग कर है? यदि हां, तो आपको अपने कोड, सेटिंग्स और विधियों की जांच करने के लिए कुछ पेशेवर (कंपनी?) के लिए भुगतान करना चाहिए।
यह मेरी राय है, इसे ले लो। मैं यह भी सुनना चाहूंगा कि अन्य लोग क्या सुझाव देते हैं।
गुड लक
साथ ही क्या पहले से ही सुझाव दिया गया है, यह है आवेदन की किस प्रकार पर निर्भर करता है के रूप में, आप किसी भी संभावित खतरों है कि प्रवेश पाने हैकर्स का नेतृत्व कर सकेगी के लिए आपके आवेदन को स्कैन करने के लिए एक जोखिम स्कैनर का उपयोग कर सकते हैं।
वहां कुछ अच्छे स्कैनर हैं, लेकिन इनका उपयोग करते समय ध्यान दें कि परिणाम 100% हो सकते हैं या नहीं। य़ह कहना कठिन है।
स्कैनर, वाणिज्यिक और नि: शुल्क की एक सूची के लिए देखें: http://projects.webappsec.org/Web-Application-Security-Scanner-List
अधिक जानकारी के लिए स्कैनर पर: http://en.wikipedia.org/wiki/Web_Application_Security_Scanner
गुड लक।
यहाँ आप एक वेबसाइट
http://launchlist.net/
शुरू करने से पहले उपयोग करने के लिए एक व्यावहारिक चेकलिस्ट पाते हैं और यहाँ आप परीक्षण करने के लिए
http://www.thebraidytester.com/downloads/YouAreNotDoneYet.pdf
- 1. क्या मुझे इसका उपयोग करने से पहले boost :: shared_ptr या std :: shared_ptr जांचना चाहिए?
- 2. क्या मुझे * .mo फाइलों में जांचना चाहिए?
- 3. वेब एप्लिकेशन कैसे जारी करें?
- 4. क्या मुझे संकलन करने से पहले परीक्षण लिखना चाहिए?
- 5. क्या मुझे यह जांचना चाहिए कि प्रोग्रेसबार इसे खारिज करने से पहले दिखा रहा है या नहीं?
- 6. क्या मुझे यह जांचना चाहिए कि इसे एक्सेस करने से पहले शब्दकोश में विशेष कुंजी मौजूद है या नहीं?
- 7. क्या मुझे जावास्क्रिप्ट सीखने से पहले सी सीखना चाहिए?
- 8. क्या मुझे एंड्रॉइड एप्लिकेशन बनाने के लिए एंड्रॉइड फोन चाहिए?
- 9. क्या मुझे जावाएफएक्स सीखने से पहले स्विंग सीखना चाहिए?
- 10. क्या मुझे "addClass" से पहले "हैस्क्लास" का उपयोग करना चाहिए?
- 11. मेरे जावा वेब एप्लिकेशन को HTTPS का उपयोग करने के लिए मुझे क्या करना चाहिए?
- 12. मुझे अपने वेब एप्लिकेशन का परीक्षण कैसे करना चाहिए?
- 13. क्या मुझे एक विफलता पंजीकृत करना जारी रखना चाहिए?
- 14. यह जांचना कि क्या उपयोगकर्ता पहले से ही ड्रूपल
- 15. क्या मुझे ओआरएम चाहिए?
- 16. क्या मुझे प्रक्रियात्मक कोड से निष्पादन कॉल करने से पहले आईसीओएमएंड की कैनएक्सक्यूट विधि की जांच करनी चाहिए?
- 17. क्या जेबीपीएम मुझे चाहिए?
- 18. क्या मुझे सूची लॉक करने से पहले और बाद में जांच करनी चाहिए?
- 19. क्या मुझे ईबीएस या एस 3 पर छवियों को जारी रखना चाहिए?
- 20. क्या मुझे जीडब्ल्यूटी एप्लिकेशन
- 21. संपीड़न और एन्क्रिप्टिंग करते समय, क्या मुझे पहले संपीड़ित करना चाहिए, या पहले एन्क्रिप्ट करना चाहिए?
- 22. क्या मुझे ऐप स्टोर सबमिट करने से पहले टेस्टफलाइट को हटा देना चाहिए?
- 23. मुझे इसका उपयोग शुरू करने से पहले गिट के बारे में क्या पता होना चाहिए?
- 24. विजुअल स्टूडियो में कई समाधानों में एप्लिकेशन को विभाजित करने से पहले मुझे किन विचारों को करना चाहिए?
- 25. क्या एचटीएमएल को जारी रखने से पहले एन्कोड किया जाना चाहिए?
- 26. क्या इसे इंस्टॉल करने से पहले Google क्रोम एक्सटेंशन के लिए कोड जांचना संभव है?
- 27. गिट में आने से पहले मुझे मंच क्यों चाहिए?
- 28. क्या क्लास को हटाएं क्लास से पहले होना चाहिए - jQuery
- 29. क्या मुझे एक्सयूएल सीखना चाहिए?
- 30. क्या मुझे यहां लॉक चाहिए?
http देखें भूल गया सब सामान की एक सूची है कर सकते हैं: // stackoverflow। कॉम/प्रश्न/2059337/प्रथाओं-रिलीज-द-पायथन-रूबी-स्क्रिप्ट-आधारित-वेब-अनुप्रयोग-ऑन-प्रोडक्ट, –
[संभवतः आपके वेब एप्लिकेशन को जंगली में जारी करना] के संभावित डुप्लिकेट (http: // stackoverflow। com/प्रश्न/515,168/रिहा-अपने-वेब-आवेदन-में-जंगली) –