[simple_tooltip content='SPAccess'] [/simple_tooltip] [simple_tooltip content='SPAccess'] [/simple_tooltip] [simple_tooltip content='SPAccess'] [/simple_tooltip]
Securitate IT

Recomandările CERT-RO privind securizarea aplicațiilor web

Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) a publicat un set de măsuri generale pentru securizarea aplicațiilor web.

Având în vedere contextul actual caracterizat de un risc în creșterea de incidente de securitate cibernetică, pe fondul unui proces accelerat de digitalizare, ne adresăm instituțiilor care dețin site-uri web, cu următorul set de masuri generale privind securitatea cibernetică a acestora:

  1. În cazul site-urilor bazate pe CMS-uri cunoscute (Content Management System, ex: WordPress, Drupal, Joomla etc.) recomandăm să se facă update-ul constant al platformei CMS și a plugin-urile utilizate in cadrul site-ului;
  2. Utilizarea cu precauție a temelor și plugin-urilor oferite gratis, deoarece în anumite cazuri acestea pot fi deja infectate sau pot prezenta vulnerabilități;
  3. Utilizarea unui certificat SSL – HTTPS (Secure Sockets Layer – Hyper Text Transfer Protocol Secure) care criptează conexiunea dintre browserul din care este accesat site-ul și server, conexiunea criptată fiind utilizată pentru a asigura identitatea furnizorului de servicii și pentru a asigura protejarea datelor utilizate în tranzacția efectuată. Trebuie specificat faptul că o conexiune criptată SSL nu este suficienta pentru a proteja site-ul de atacuri sau infectări cu aplicații malware și nici nu le previne.
  4. Validarea și sanitizarea tuturor câmpurilor de introducere a datelor din formularele de pe pagini web, eliminând astfel datele care nu îndeplinesc tipul de baza, formatul si lungimea corespunzătoare;
  5. Sanitizarea datelor introduse de utilizatorii site-urilor web prin intermediul formularelor, atât la salvarea în baza de date, cât și la afișarea în browser, împiedicând astfel datele care au fost introduse intenționat in mod greșit să ajungă în bazele de date;
  6. Transmiterea către utilizatorii site-urilor web, doar a mesajelor de eroare ce țin de validarea datelor introduse de către acesta și crearea de mesaje de eroare custom pentru mesajele de eroare generale ale aplicației (în care ar putea fi afișate detalii privind structura bazei de date, credențiale, etc);
  7. Utilizarea token-urilor CSRF (Cross Site Request Forgery) pentru prevenirea Cross site request forgery;
  8. Obligativitatea utilizării unor parole complexe atât de către administratorii aplicațiilor web, cat si de catre utilizatorii acestora.

Deoarece acest set de măsuri nu este exhaustiv, pentru o prezentare mai detaliată a principalelor vulnerabilități care pot fi întâlnite la aplicațiile web, precum și a măsurilor ce pot fi luate pentru securizarea site-urilor, CERT-RO recomandă și consultarea ghidului de securizare a aplicațiilor web disponibil pe site-ul CERT-RO, precum și respectarea politicilor de securitate aprobate la nivelul instituției deținatoare a site-ului.

Share
Publicat de
C. R.

Stiri Recente

Conferința de Analiză de Risc – Ediția a V a

Ediția a V-a a Conferinței de analiză de risc va avea loc pe data de…

March 5, 2020

The Power of Video 2020

Roadshow-ul Power of Video, organizat de Milestone Systems, va demonstra diferite moduri în care conținutul…

March 5, 2020

Reținuți pentru complicitate la furt și tâlhărie

La data de 18 decembrie., polițiștii de investigații criminale din cadrul Poliției municipiului Roman au…

December 20, 2019

De ce să nu folosești rețelele WiFi publice gratuite și ce riști dacă o faci

Într-o lume cu abonamente la cu trafic de internet nelimitat, nu mai ai nevoie neapărat…

December 20, 2019

Atacuri de phishing şi malware, apărute în contextul celui mai nou film din seria ”Star Wars”

Cel mai recent film care continuă seria ”Star Wars” a atras atenţia atacatorilor chiar înainte…

December 20, 2019

Cercetați de polițiști pentru furturi din genți și buzunare

Polițiștii ieșeni au identificat trei bărbați și o tânără, bănuiți de furturi din genți și…

December 20, 2019