Essa pergunta é difícil de responder, diríamos que podemos utilizar certos recursos para torná-la menos vulnerável. Segura totalmente, creio que nem mesmo as aplicações da Policia Federal estão. Então para dar uma mãozinha na descoberta dessas vulnerabilidades a Artech publicou uma importante extensão chamada SecurityScanner que investiga todos os objetos programados na kb e aponta as possíveis falhas de segurança que estas apresentam, utilizando para isso as recomendações apontadas na lista Top 10 da OWASP.
Para compreender melhor sobre essas possíveis vulnerabilidades, publicamos link's com as recomendações da Artech a respeito de segurança nas aplicações Genexus.
- http://wiki.gxtechnical.com/commwiki/servlet/hwiki?Security+Scanner+extension+user+manual,
- http://wiki.gxtechnical.com/commwiki/servlet/hwiki?OWASP+2010+Top+10+Security+Risks+in+GeneXus+Applications,
- Não utilize cookies para guardar informações relevantes (dados do usuário, informações confidenciais, ..., nem pensar)
- Utilize um certificado CSS Válido e chamadas HTTPS
- Marque a propriedade Encrypt URL Parameters
- Cautela ao utilizar campos de edição no formato HTML para que os usuários registrem suas próprias coisas. Nesse caso bloqueie a inclusão de código do tipo
- Guarde informações na sessão Web encriptada, Encrypt64
- Guarde informações relevantes no banco de dados também encriptadas (com MD5, por exemplo)
- Cuidado com os diretórios abertos e acessíveis no servidor, e as operações de Upload
- Contrate um profissional de segurança para configurar seus servidores
- Não programe links com parâmetros por extenso, por exemplo, http://chama.com.br/criaconta.aspx?id=1111,senha=123456
- Não utilize SQL's dinâmicos, deixando para o usuário programar seu conteúdo, com o comando SQL ou acesso nativo
- Avalie a programação dos objetos nativos (C# ou JAVA) para observar se os mesmos não estão abrindo portas.
- Elimine arquivos desnecessários no UPLOAD do projeto para o servidor (elimine EXE's, cliente.exe.config, programas fontes, ...)
- Utilize o GAM, se possível
Antes de fechar a conta, mais uma, o código do Security Scanner é aberto e público https://www.assembla.com/spaces/genexus-securityscan/wiki
Nenhum comentário:
Postar um comentário