开发人员必须遵循的 5 个安全提示

我从事安全分析师和审计师工作已经有一段时间了，遇到过很多让我感到沮丧的事情。有时我会想：“如果开发人员能及时处理好这个安全提示就好了……” 那么，为什么不讨论一下开发人员可以采取的一些安全提示呢？我列出了五条建议，欢迎您随意添加您自己的建议！

提示 1：关注默认管理页面

我无数次遇到过/myadmin.php类似的管理页面，它们都带有默认值。使用框架固然好，但处理好这些细节也至关重要。攻击者可能会使用暴力破解绕过管理页面的登录，造成严重的后果。

提示 2：请务必使用强密码

我的意思是，我知道记住强密码是一件很难的事，但是啊！我们有 KeePass 可以解决这个问题。非常感谢您，如果您还有疑问，可以查看一下这个巨大的漏洞。这看似不重要，但其实不然。

提示 3：避免“它是安全的，因为它在容器中”

不。安全并非如此。真的。例如，如果你们还在使用旧版本的资源（我遇到过很多次），比如 ElasticSearch，你们就能用curl 命令入侵应用程序，或者其他很多东西。我知道寻找漏洞不是你们的工作（所以你们应该聘请专家来做这件事），但你们可以同时使用CoreOS 和 Clair进行基本的漏洞评估，就像我在这里描述的那样。

提示 4：过滤所有内容

请注意用户在您的应用中可以输入的内容。如果您不了解，有一种称为跨站点脚本(XSS) 的攻击，它可以被用作许多其他攻击的一部分，而这都是由于缺乏过滤造成的。不要让用户使用脚本元素，这样可以避免很多问题。

提示 5：询问

好的，我思考了最后一个问题的许多建议，例如不要盲目跟风，不要因为新技术听起来很新奇就不经审核就使用它们，或者要注意服务器强化。但最终，我想到了最重要的却常常被遗忘的一点：询问。不知道某件事完全正常，而当涉及到安全疑问时，可能性会更大，这很正常，因为作为开发人员，您可能不知道某些细节。没关系，这就是审计和安全分析的目的所在，但即使应用程序要经过安全专家的审核，也不要害怕在开发过程中提问，因为有些细节可能是结构或概念安全错误，这些错误在早期阶段很容易解决，而当分析师在最后阶段处理时，情况就会变得一团糟。在早期阶段听取安全建议是一个健康负责的决定。我有时感觉开发人员将我视为需要对抗的敌人，是一个破坏“他们的孩子”的人，但我只是想让它发挥作用，而当你从一开始就让安全人员参与其中时，事情会更容易做到。

希望你们喜欢这些技巧，也欢迎大家补充。你的工作安全技巧是否帮了大忙？我期待听到你们的建议。