वेब सुरक्षा शुरू करना?

Question

मैं इंटरनेट सुरक्षा के बारे में हैकर्स सम्मेलन से वापस आया हूं और मुझे वेब सुरक्षा सीखने और हैकर्स से कंपनियों की सुरक्षा करने में दिलचस्पी है। लेकिन मुझे नहीं पता कि कहां से शुरू करना है और कौन सी भाषाएं सीखना है ..

क्या कोई मुझे इस के लिए सही दिशा में इंगित कर सकता है?

Answer 1

हर किसी के पास सुरक्षा का अपना दर्शन है। अपना खुद का दर्शन विकसित करना महत्वपूर्ण है। यही कारण है कि Bruce Schneier इतना लोकप्रिय है, और मैंने प्रत्येक ब्लॉग पोस्ट पढ़ा है।

सुरक्षा की वर्तमान स्थिति में परिदृश्य सुरक्षा प्रणालियों से भरा हुआ है जो असफल हो जाते हैं।मेरा मानना ​​है कि यह निम्नलिखित उद्धरण के कारण है।

"मैं जो नहीं बना सकता, मैं समझ नहीं पा रहा हूं।"

--Richard फेनमैन

सीखना कैसे सॉफ्टवेयर को तोड़ने के लिए कैसे हमले से बचाने के लिए में सीखने में सबसे महत्वपूर्ण कदम है। आपको सॉफ़्टवेयर में भेद्यताएं मिलनी चाहिए और शोषण कोड लिखना चाहिए।

Answer 2

यह एक विशाल क्षेत्र है। लोग इसके जीवनकाल करियर बनाते हैं। अभी शुरुआत के रूप में, तुम सीखना चाहता हूँ:

• HTML, XML और XHTML
• जावास्क्रिप्ट, और एक बार आप जानते हैं, क्रॉस साइट स्क्रिप्टिंग आक्रमण के बारे में
• एसक्यूएल पढ़ा है, और एक बार आप जानते हैं मूल बातें, हैश, लवण, सार्वजनिक कुंजी एन्क्रिप्शन के बारे में इंजेक्शन हमले से
• मूल बातें, और कैसे काम करता है HTTPS
• कैसे प्रमाण पत्र काम

एक अच्छा स्टार होना चाहिए कि टी।

Answer 3

क्लासिक आलेख 'Smashing the Stack for Fun and Profit' पढ़ना आवश्यक है।

यह बफर ओवरफ्लो से संबंधित है - एक बहुत ही आम शोषण। यद्यपि यह अपेक्षाकृत कम-स्तर है, बफर ओवरफ्लो को समझना निश्चित रूप से सुरक्षा के बारे में सीखने का पहला कदम है।

Answer 4

भाषाएं कोई फर्क नहीं पड़ता, वास्तव में, सुरक्षा एक कार्यान्वयन से अधिक दृष्टिकोण है। आप इंटरनेट अनुप्रयोगों को लिखने के लिए कई भाषाओं और ढांचे का उपयोग कर सकते हैं, और अनुप्रयोगों को सुरक्षित करने के लिए को शीर्ष पर स्तरित नहीं किया जाना चाहिए। यदि आप मौजूदा वेबसाइटों की रक्षा करना चाहते हैं तो इसमें कमजोर कोड को फिर से लिखना, या एप्लिकेशन और इंटरनेट के बीच एक वेब एप्लिकेशन फ़ायरवॉल डालना शामिल है।

आप पहले अवधारणाओं पर ध्यान केंद्रित करना और अपनी पसंद की भाषाओं में उन्हें कैसे लागू करना सीखना बेहतर होगा। माइक्रोसॉफ्ट सिक्योर डेवलपमेंट लाइफसाइक्ल, और उन्होंने थ्रेट मॉडलिंग के आसपास किए गए काम को कुछ और जांचना चाहिए - क्योंकि यह शुरुआत से ही इसे कवर करता है और विकास के प्रत्येक पुनरावृत्ति के साथ फीडबैक लूप बना देता है।

(ओह, और मैं ASP.NET securityमुस्कराहट पर एक किताब लिखने के लिए किया था)

Answer 5

सबसे महत्वपूर्ण सबक में से एक सीखा जा करने के लिए जब किसी भी आवेदन में सुरक्षा को लागू नहीं घर पीसा सुरक्षा व्यवस्था का उपयोग करना है - आप हमेशा एप्लिकेशन को कम सुरक्षित बनाते हैं।

एक नया हैश एल्गोरिदम लिखने का प्रयास न करें, या एन्क्रिप्शन विधि स्ट्रीमिंग, या 100 अन्य टुकड़ों को स्ट्रीम करने का प्रयास न करें।

हमेशा उपयोग अच्छी तरह से जाना जाता है, अच्छी तरह से परीक्षण किया मॉड्यूल और एल्गोरिदम जैसे OpenSSL, Blowfish encryption और salted password hashes।

Answer 6

ओडब्ल्यूएएसपी (ओपन वेब एप्लीकेशन सिक्योरिटी प्रोजेक्ट) शुरू करने के लिए सबसे अच्छी जगह है। उनके पास ओडब्ल्यूएएसपी टॉप टेन सहित कई संसाधन हैं, जिनमें वेब अनुप्रयोगों के लिए 10 सबसे महत्वपूर्ण भेद्यता/जोखिम और उनकी सुरक्षित कोड विकास मार्गदर्शिका शामिल है जिसे पीडीएफ में ऑनलाइन (विकी) या डाउनलोड किया जा सकता है।

उनके पास वेब बकरी भी एक कमजोर वेब एप्लिकेशन है जो लोग कमजोरियों के बारे में जानने के लिए डाउनलोड और खेल सकते हैं, वे कैसे काम करते हैं और उन्हें सही करने के लिए सबसे अच्छा तरीका है। यह बहुत दिलचस्प है और यह युक्तियों और समाधानों के साथ आता है।

वे सम्मेलनों को व्यवस्थित करते हैं (वेब ​​साइट के वीडियो सत्र की जांच करते हैं, वे आम तौर पर वार्ता के वीडियो और स्लाइड प्रकाशित करते हैं) और विभिन्न शहरों में अध्याय बैठकें आयोजित करते हैं जहां लोग वेब ऐप सुरक्षा के दिलचस्प पहलुओं के बारे में बात करते हैं। आपको अपने क्षेत्र में एक में शामिल होने पर विचार करना चाहिए।

आप OWASP वेब साइट में सभी जानकारी कर सकते हैं: http://www.owasp.org