MoreOnlineTools
ESC

Kit Audit Keselamatan

Aliran kerja 7 langkah untuk mengukuhkan postur keselamatan aplikasi anda

Kit Audit Keselamatan

Aliran kerja ini direka untuk pembangun dan pentadbir sistem yang ingin mengaudit dan meningkatkan keselamatan aplikasi web atau persekitaran pelayan. Ikuti langkah-langkah mengikut urutan untuk merangkumi kebersihan kelayakan, perlindungan data, dan pengepala keselamatan HTTP. Pada akhirnya, anda akan telah menangani vektor serangan yang paling biasa — kata laluan yang lemah, penyimpanan teks biasa, data tidak tersulitkan, dan polisi penyemak imbas yang salah konfigurasi.

7 langkah ~20 min 7 alat
01

Jana Kelayakan yang Kukuh

Kata laluan yang lemah adalah punca utama pelanggaran keselamatan. Jana kata laluan rawak secara kriptografi untuk semua akaun perkhidmatan, kunci API, dan kelayakan pentadbir.

Penjana Kata Laluan
Jana kata laluan rawak secara kriptografi sekurang-kurangnya 16 aksara dengan huruf besar, huruf kecil, nombor, dan simbol.
Buka Alat
02

Uji Kata Laluan Sedia Ada

Sebelum mempercayai kata laluan sedia ada, nilaikannya berdasarkan pengiraan entropi dan pengesanan corak biasa. Apa-apa yang di bawah 70 bit entropi perlu digantikan.

Pemeriksa Kekuatan Kata Laluan
Tampal setiap kata laluan sedia ada di sini untuk mengukur skor entropi dan memeriksa corak yang boleh dijangka atau perkataan kamus.
Buka Alat
03

Cincang Kata Laluan untuk Penyimpanan

Jangan sesekali menyimpan kata laluan dalam bentuk teks biasa. Bcrypt menambah garam secara automatik dan direka sengaja lambat — setiap cincang mengambil beberapa milisaat untuk anda tetapi menjadikan serangan brute-force terlalu mahal.

Penjana Bcrypt
Masukkan kata laluan dan jana cincang bcrypt dengan faktor kos yang sesuai (disyorkan 12) untuk disimpan dalam pangkalan data anda.
Buka Alat
04

Cincang Data untuk Integriti

Sahkan integriti fail, cipta checksum untuk penggunaan, atau jana pengecam deterministik. SHA-256 adalah standard untuk checksum dalam konteks keselamatan.

Penjana SHA-256
Cincang artifak penggunaan, fail konfigurasi, atau sebarang data untuk mencipta checksum yang boleh anda sahkan selepas pemindahan atau penyimpanan.
Buka Alat
05

Enkripsi Data Sensitif

Untuk data yang perlu dipulihkan kemudian (tidak seperti cincang), AES-256 adalah standard industri. Gunakannya untuk mengenkripsi token, nilai konfigurasi, atau sebarang data yang disimpan di luar aplikasi anda.

Enkripsi AES
Enkripsi token API, kunci rahsia, atau nilai konfigurasi menggunakan AES-256 supaya boleh disimpan atau dihantar dengan selamat.
Buka Alat
06

Tulis Polisi Keselamatan Kandungan

Pengepala CSP mencegah serangan XSS dengan mengawal sumber yang boleh dimuatkan oleh penyemak imbas. CSP yang dikonfigurasi dengan baik adalah salah satu pertahanan paling berkesan terhadap suntikan skrip.

Penjana CSP
Bina pengepala Content-Security-Policy dengan memilih sumber yang aplikasi anda benar-benar gunakan, kemudian salin nilai pengepala ke konfigurasi pelayan anda.
Buka Alat
07

Konfigurasi Pengepala CORS

CORS yang salah konfigurasi adalah kelemahan API yang biasa. Jana pengepala yang tepat untuk membenarkan hanya asal yang dimaksudkan — aksara kad bebas (*) pada titik akhir yang mempunyai kelayakan adalah kelemahan keselamatan yang kritikal.

Penjana Pengepala CORS
Tentukan asal, kaedah, dan pengepala yang dibenarkan untuk menjana nilai pengepala Access-Control-* yang tepat yang diperlukan oleh API anda.
Buka Alat

Tips Profesional

  • Putar kelayakan selepas setiap audit. Walaupun kata laluan yang kukuh menjadi liabiliti jika telah digunakan selama setahun atau lebih tanpa putaran.
  • Gunakan faktor kos 12 atau lebih tinggi untuk bcrypt dalam pengeluaran. Pada perkakasan moden, kos 10 boleh dipecahkan lebih cepat daripada yang dijangka apabila kuasa pengkomputeran berkembang.
  • Uji CSP anda dalam mod laporan sahaja (Content-Security-Policy-Report-Only) dahulu sebelum menguatkuasakan — polisi yang salah konfigurasi boleh memecahkan seluruh aplikasi anda.

Soalan Lazim

Pencincangan adalah proses sehala: anda tidak boleh membalikkan cincang untuk mendapatkan data asal. Ia digunakan untuk mengesahkan integriti atau menyimpan kata laluan. Enkripsi adalah dua hala: data boleh dinyahsulit dengan kunci yang betul. Gunakan pencincangan untuk kata laluan dan checksum; gunakan enkripsi untuk data yang perlu anda ambil semula kemudian.

Sekurang-kurangnya 16 aksara untuk kata laluan yang ditaip manusia, dan 32 atau lebih aksara untuk kelayakan yang dijana mesin seperti kunci API. Panjang menyumbang lebih kepada entropi berbanding kepelbagaian aksara sahaja — rentetan 20 aksara huruf kecil lebih kukuh daripada rentetan campuran 10 aksara.

Bcrypt jauh lebih baik untuk penyimpanan kata laluan. SHA-256 direka untuk menjadi pantas, yang memudahkan brute-force. Bcrypt sengaja lambat dan mempunyai garam terbina dalam, menjadikannya pilihan yang betul untuk menyimpan kata laluan pengguna. SHA-256 sesuai untuk checksum dan integriti data, bukan penyimpanan kelayakan.

Tidak, CSP mengurangkan risiko dan kesan XSS dengan ketara tetapi tidak menghapuskannya sepenuhnya. CSP yang ditulis dengan buruk dengan peraturan yang terlalu luas (seperti unsafe-inline) memberikan sedikit perlindungan. CSP berfungsi paling baik sebagai satu lapisan dalam pendekatan pertahanan mendalam bersama-sama dengan sanitasi input dan pengekodan output.

Tidak. Setiap alat di laman web ini berjalan sepenuhnya dalam penyemak imbas anda. Kata laluan, kunci, dan data anda tidak pernah meninggalkan peranti anda — tiada apa yang dihantar ke sebarang pelayan. Anda boleh mengesahkan ini dengan memutuskan sambungan internet dan menggunakan alat; ia akan terus berfungsi.

Keselamatan dan Privasi

Keselamatan data anda adalah keutamaan kami

Pemprosesan Tempatan

Semua pemprosesan berlaku dalam pelayar anda

Tiada Pemindahan Data

Data anda tidak dihantar ke pelayan kami

Tiada Penyimpanan Data

Tiada data disimpan atau dikongsi

Penyulitan SSL

Penyulitan SSL untuk sambungan selamat