Блог

Несколько шагов для того чтобы обезопасить ваш веб-сервис

Редакция Lodoss Team
0

Неделю назад неизвестные слили в сеть базу, в которой были полные данные о 420 тысячах сотрудниках сбербанка. Специалисты по безопасности считают, что скорее всего данные попали в сеть от какого-либо сотрудника сбербанка.

А ровно год назад произошла самая крупная утечка данных, когда группа хакеров взломала Equifax и пострадали 145.5 миллионов пользователей.

Мы решили привести несколько советов для того чтобы повысить безопасность веб-сервиса.

Распределяйте права доступа

Учитесь на плохом примере сбербанка, старайтесь сделать так, чтобы как можно меньше ваших сотрудников имело доступ к критичной информации.

Этот совет как про распределения доступа для сотрудников вашей компании, так и про распраделение прав доступа к файлам на уровне операционной системы.

Точно так же и на вашем сервере распределять права к файлом нужно строго в соответствии с их назначением.

Следите за обновлением ПО

Если у вас серьезный веб-сервис, который имеет большое количество пользователей и приносит вам доход, то вы должны иметь специалиста по безопасности, который будет своевременно исправлять уязвимости, которые были найдены.

Очень часто в различном ПО находят уязвимости и разработчики этого ПО их сразу же исправляют. Но проблема в том, что эти обновления скачивают не сразу. И у злоумышленников есть огромное количество времени на то, чтобы пользоваться эксплоитом.

Так, например, было в 2016 году, когда была найдена серьезная уязвимость в пакете OpenSSL, который использовался на огромном количестве серверов.

И даже если ваше веб-приложение хорошо написано, проверяет все входящие данные, хорошо защищено, то это не значит, что в один день не найдется уязвимости в ОС или каком-либо модуле. Всегда нужно следить за обновлениями и уязвимостями.

HTTPS

Если у ваших пользователей есть приватные данные на вашем сервисе или тем более они проводят оплату или хранят данные своих карт, то вам обязательно нужно использовать шифрование данных.

Сделать это очень просто, при этом это серьезно скажется на безопасности вашего веб-сервиса.

Кстати, поисковики в будущем будут повышать в выдаче сайты использующие HTTPS, что безусловно верный шаг.

Инъекции

SQL инъекция — это один из самых простых способов взлома сайта. И, кстати, организация OWASP поставила его на первое место по рискам.

Суть инъекции – внедрение в данные своего SQL кода. Если ваш сайт уязвим и выполняет такие инъекции, то по сути есть возможность делать с вашей базой данных все, что угодно.

Так же существуют XSS-инъекции, на сегодняшний день они не столько актуальны как раньше, но не стоит списывать их со счетов.

Если не заниматься вопросами безопасности, то можно потерять данные, которые скорее всего для вас очень важны. И в добавок получить серьезные репутационные риски.

0