Какие ресурсы можно использовать для изучения принципов безопасной веб разработки?

Question

[Вадим]

Какие ресурсы вы используете для изучения безопасного кодинга в веб? В российском сегменте вообще не нашел... Есть парочка дико дорогих курсов и (дорогих) платформ для корпораций... а что делать обычному разрабу?

Примеры дорогих платформ для корпораций - здесь:
https://www.g2.com/categories/secure-code-training

А здесь примеры дико дорогих треннингов:
https://www.glasspaper.no/en/courses/web-applicati...
https://www.nobleprog.ru/cc/seccode?participants=1...

Comments

[ambisinister One]

Я использую в качестве ресурсов голову)))

[Вадим]

ambisinister One, это необходимо, но если одну голову, то займет в 10 раз больше времени... а время - деньги !

[ambisinister One]

Вадим, А вот для этого я использую комп )

[Вадим]

ambisinister One, может лучше время не тратить на бесполезные ответы из Германии ))

Answer 1

[Вадим]

Регестрируетесь как OWASP member на
https://owasp.org/membership/

это стоит 50 баксов в год

и получаете доступ к SecureFlag Platform

хороший вариант,
остальные только corporate или очень дорого !

Answer 2

[Dmitriy Grape]

Безопасная веб разработка - это по сути CORS, CSP, защита от XSS, защита от CSRF и хеширование паролей

UPD:
Вадим, Если вы не хотите чтобы к вам на API прилетали данные, которые вы не ожидаете - используйте валидацию с whitelist'ингом. Если вам нужно ограничить места, откуда может прилететь запрос - сконфигурируйте CORS.

Если вы хотите ограничить количество запросов на эндпоинт в течении какого-то количества времени с одного IP - Юзайте RateLimit. Про правильное построение авторизации тоже не совсем понятно. Что для вас правильнее: JWT или OAuth2? Все стратегии уже давно придуманы и сделать что-то неправильно будет тоже сложно.

Нужно безопасно предавать данные в сети - HTTPS и SSL.

Хотите закрыть все порты, кроме 443? - юзайте фаервол.

Нет необходимости изучать «принципы безопасной веб разработки», вы когда что-то писать начнёте, вы сразу увидите все слабые места и начнёте искать пути решения уже конкретно под вашу ситуацию. А так, свой

fetch('https://api.com')

вы безопаснее не сделаете.

Comments

[Вадим]

а еще это web api - их дезайн и защита, правильные принципы построения авторизации, много чего в бекэнде. Так что намного больше, чем кажется ! Хотелось бы какой-то ресурс, где была бы квитэссенция всего этого !

[Александр Фалалеев]

Вадим,

! Хотелось бы какой-то ресурс, где была бы квитэссенция всего этого !

https://www.immuniweb.com/

[Вадим]

Александр Фалалеев, по моему вы вобще не поняли вопроса. Я ищу ресурсы для изучения безопасного программирования !

[Александр Фалалеев]

Вадим, Так сначала Вы "программируете", а затем ТАМ тестируете :)

Прочитайте внимательно:

https://www.immuniweb.com/use-cases/

[Вадим]

не то....

[Вадим]

Rag’n’ Code Man

спасибо на этом Дмитрий - если, что обращусь к вам за консультацией !

респект,
Вадим

Answer 3

[Вячеслав]

Не соглашусь с коллегами что 'нечего там учиться, и так все понятно' :) Тема большая и интересная, там копать не перекопать.
Я не специалист, но картинка представляется такой:
- по информации - курить owasp, как минимум. Попадались сайты с переводами статей с оваспа, и своими материалами по web security;
- по разработке - обвешиваетесь статическими анализаторами (SonarQube, Bandit для питона, и тд). Анализатор укажет подозрительные места, а вы прокачиваетесь в понимании возможных векторов атаки;
- по тестированию - проверять сканерами типа OWASP Zap, https://www.ssllabs.com/ssltest/analyze.html . Опять таки, разбор срабатываний даст понимание того как вас могут атаковать, как можно делать, и как нельзя;