چک لیست امنیتی لاراول

۲۹ اردیبهشت ۱۳۹۸

کد برنامه نویسی

فیلتر و اعتبار سنجی کلیه داده ها

Laravel Eloquent ORM از PDO برای محدود کردن تزریقات SQL Injection استفاده می کند. لاراول همچنین چک می کند که داده هایی که با دو متد GET,POST می آیند از کجا می آیند.

از بین بردن session بعد زمان مورد نظر

استفاده نکردن کلمه عبور و موارد امنیتی در session ها و از بین بردن session ها بعد از استفاده، بسیار مهم است.

استفاده از الگوریتم های قدرتمند در hashing کلمه عبور

استفاده از توابع قدرتمندی مانند bcrypt برای hash کردن و دوری از توابع ضعیف hash مانند MD5,SHA1. لاراول با استفاده از Bcrypt و Argon2 یک الگوریتم قدرتمند را در hashing خود استفاده می کند.

زیر ساخت

پیکر بندی SSL / TLS

اطمینان حاصل کنید که پیکربندی SSL / TLS سرور شما به روز شده و به درستی پیکربندی شده است و از طریق اسکن کردن آن به طور منظم از رمزهای ضعیف، نسخه های قدیمی TLS، گواهینامه های غیر معتبر با کلید های ضعیف و غیره استفاده نمی شود.

جلوگیری از حملات DDOS

برای جلوگیری از حملات DDOS می توانید از ابزارهایی مانند Fail2Ban استفاده کنید.

لاگ برداری از همه چیز

از عملیاتهایی مانند ورود ناموفق، ریست کردن پسورد و ... لاگ برداری کنید. برای اینکار می توانید از Monolog و یا لاگ خود لاراول استفاده کنید.

حفاظت

ارسال و دریافت Header های امن و قابل دسترس

اطمینان حاصل کنید Header های شما به درستی پیکر بندی شده اند و موارد زیر را لحاظ فرمایید:

  • HSTS
  • X-XSS-Protection
  • X-Frame-Options
  • X-Content-Type-Options
  • (Content Security Policy (CSP

سیاست امنیتی محتوا

داشتن یک سیاست امنیتی محتوای خوب از اتکهایی مانند XSS جلوگیری می کند.

امنیت برنامه خود را مانیتور کنید

امنیت برنامه خود را برای رفتارهای مشکوک و حملات نظارت کنید. شاید اگر به موقع متوجه حمله شوید جلوگیری از خرابی برای شما راحتتر باشد.

 نویسنده:حمید شاه محمدی
 تعداد مشاهده خبر:(91)
 هر روز از مقاله های جدید طراحی سایت در کانال تلگرام ما با خبر شوید

 میانگین امتیازات:
 
  تعداد رای دهندگان: {{ count }}
نظرات:

{{ x }}
{{ alert }}

نویسنده:{{ com.name }}
{{ com.body }}
{{ com.created_at }}