Как разработчики или клиенты, наша главная загадка - это защита нашего веб-сайта. Поэтому для этого большинство из нас использует бэкенды и механизмы аутентификации, шифрование, токены, средства управления доступом и т. Д. Но уделяем ли мы должное внимание безопасности внешнего интерфейса веб-сайта?

Без прав? Итак, сначала давайте поговорим о некоторых возможных атаках на интерфейс.

Атака с использованием межсайтовых сценариев (XSS). Обычно браузер запускает набор сценариев, загружаемых как веб-приложение. Таким образом, в этих типах атак хакеры вводят вредоносный сценарий в пакет сценариев веб-приложения. Затем, не зная причины, браузер выполнит его.

Подделка межсайтовых запросов (CSRF). Эта атака довольно сложна, поскольку позволяет замаскировать жертву. Обычно, когда пользователь аутентифицируется на веб-сайте, все запросы, отправляемые на этот веб-сайт, будут иметь учетные данные, связанные с этой учетной записью. Например, файл cookie сеанса, IP-адрес и т. Д. Таким образом, если каким-то образом (используя поддельное электронное письмо жертве) злоумышленник отправит этот запрос на серверную часть сайта, то сервер не сможет различить запрос. Таким образом, злоумышленник попытается изменить состояние учетной записи, например изменить адрес электронной почты или пароль.

Атака DOS (отказ в обслуживании) - Эта атака просто реализуется путем выполнения множества запросов к серверу за очень небольшой промежуток времени (миллисекунды). Это приведет к тому, что серверу не хватит ресурсов для балансировки трафика, и в конечном итоге сервер будет недоступен для пользователей. Но как вы думаете, этого можно будет просто предотвратить, заблокировав исходный IP-адрес таким количеством запросов? Да, это возможное решение.

Но что, если это было сделано из нескольких источников. Тогда все не так просто, как видите. Это называется DDOS (распределенная атака отказа в обслуживании).

Теперь мы можем найти некоторые инструменты, чтобы остановить эти атаки на интерфейс и снизить риск безопасности веб-сайта.

jscrambler

Я лично рекомендую это, так как я использовал этот инструмент для своей работы, и он просто выполняет свою работу. Этот инструмент полезен двумя способами: безопасностью javascript и веб-безопасностью. Безопасность Javascript в некотором смысле, методы обфускации JavaScript в сочетании с полиморфным поведением, блокировками кода, возможностями самозащиты и мониторингом угроз. Веб-безопасность обеспечивает мониторинг на стороне клиента в режиме реального времени при атаках через интерфейс.

Целостность кода

  • Защита JavaScript
  • Защита гибридного / собственного кода
  • Мониторинг угроз JavaScript

Целостность веб-страницы

  • Magecart смягчение
  • Кража данных
  • Мониторинг веб-страниц

Подробнее см. Это.

JSDefender

Это система обфускации и защиты веб-приложений профессионального уровня, предлагаемая компанией PreEmptive, которая является лидером в области интеллектуальной защиты приложений. Решение скроет вашу бизнес-логику и сделает невозможным обратное проектирование кода для хакеров. Мало того, что это уменьшит размер кода с помощью методов минификации.

Подробнее см. Это.

sqreen

Это современная система защиты корпоративных приложений с системой мониторинга в реальном времени. Он состоит из трех основных компонентов.

  1. Sqreen Microagent - это библиотека внутри приложения, которая действует как система мониторинга всех запросов и их метаинформации. Затем он передаст проанализированные данные на платформу sqreen в облаке.
  2. Механизм безопасности - это уровень безопасности веб-приложения.
  3. Платформа Sqreen. Это облачная платформа, которая взаимодействует с двумя другими компонентами и анализирует данные для обнаружения аномалий.

Подробнее см. Это.

Не только эти инструменты, но и многие другие инструменты в отрасли, которые можно использовать для защиты веб-приложений. Но это инструменты, которые используются в отрасли более длительное время. Так что это очень надежные инструменты.

Но если вы думаете, ваше веб-приложение не сильно увеличено в масштабе, и если это небольшое приложение, то использовать эти типы инструментов на этом уровне необязательно. По крайней мере, вы должны попытаться сосредоточиться на следующих аспектах при создании своих приложений.

  • Сосредоточьтесь на безопасности при разработке приложения. Не ждите до последнего момента. Это заставит вас внести серьезные архитектурные изменения для повышения безопасности.
  • Попробуйте использовать современные фреймворки (Angular, React, Vue и т. Д.) Для создания приложений, поэтому у них есть встроенные инструменты веб-защиты.
  • Старайтесь избегать типичных XSS-ошибок.
  • Используйте textContent вместо innerHTML, потому что textContent может выводить только текст и не создает HTML.
  • Будьте осторожны при использовании сторонних зависимостей.

Это несколько советов для справки, используйте их с умом и защитите свое веб-приложение.

Ресурсы