使用安全框架來開發
當建置網站服務或是手機應用程式, 如果防護措施要從頭到尾自行建置開發會十分耗時而且會導致許多安全漏洞. 業界有許多成熟的安全框架可以幫助開發與建置過程中減少許多安全漏洞. 實作上建議依據目前現有的架構, 採用合適的安全框架. 網站安全框架有:
另外還必須考量框架還是會有潛在安全的漏洞, 網站提供功能的攻擊路徑, 以及第三方插件漏洞等風險. 舉例來書, WordPress框架一個很普遍的網站框架,可以快速的搭建網站,也支持安全漏洞的更新,但是Wordpress第三方工具卻不一定會有安全補丁的即時更新.因此,建議額外的安全防護措施,經常更新安全補丁,盡早驗證等措施還是必要的
安全防護
安全框架通常可以避免常見的網站風險, 例如OWASP Top 10,特別是基於錯誤輸入的攻擊方式 (例如輸入 JavaScript而非使用者名稱). 使用安全框架時要隨時保持該框架的最新版本,避免遭受已知威脅攻擊, 參考透過已知威脅攻擊 Top 10 2013
參考
- OWASP PHP Security Cheat Sheet
- OWASP .NET Security Cheat Sheet
- Security tips and tricks for JavaScript MVC frameworks and templating libraries
- Angular Security
- OWASP Security Features in common Web Frameworks
- OWASP Java Security Libraries and Frameworks