MoreOnlineTools
ESC

ชุดตรวจสอบความปลอดภัย

ขั้นตอนการทำงาน 7 ขั้นตอนเพื่อเสริมความแข็งแกร่งให้ความปลอดภัยของแอปพลิเคชันคุณ

ชุดตรวจสอบความปลอดภัย

ขั้นตอนการทำงานนี้เหมาะสำหรับนักพัฒนาและผู้ดูแลระบบที่ต้องการตรวจสอบและปรับปรุงความปลอดภัยของเว็บแอปพลิเคชันหรือสภาพแวดล้อมเซิร์ฟเวอร์ ปฏิบัติตามขั้นตอนตามลำดับเพื่อครอบคลุมการดูแลข้อมูลรับรอง การป้องกันข้อมูล และส่วนหัวความปลอดภัย HTTP เมื่อสิ้นสุดกระบวนการ คุณจะได้จัดการกับเวกเตอร์การโจมตีที่พบบ่อยที่สุด ได้แก่ รหัสผ่านที่อ่อนแอ การจัดเก็บข้อความธรรมดา ข้อมูลที่ไม่ได้เข้ารหัส และนโยบายเบราว์เซอร์ที่ตั้งค่าไม่ถูกต้อง

7 ขั้นตอน ~20 นาที 7 เครื่องมือ
01

สร้างข้อมูลรับรองที่แข็งแกร่ง

รหัสผ่านที่อ่อนแอเป็นสาเหตุหลักของการละเมิดความปลอดภัย สร้างรหัสผ่านแบบสุ่มทางการเข้ารหัสสำหรับบัญชีบริการ คีย์ API และข้อมูลรับรองผู้ดูแลระบบทั้งหมด

ตัวสร้างรหัสผ่าน
สร้างรหัสผ่านแบบสุ่มทางการเข้ารหัสอย่างน้อย 16 ตัวอักษร ประกอบด้วยตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก ตัวเลข และสัญลักษณ์
เปิดเครื่องมือ
02

ทดสอบรหัสผ่านที่มีอยู่

ก่อนที่จะเชื่อถือรหัสผ่านที่มีอยู่ ให้ประเมินโดยใช้การคำนวณเอนโทรปีและการตรวจจับรูปแบบทั่วไป สิ่งใดที่ต่ำกว่า 70 บิตของเอนโทรปีควรถูกแทนที่

ตัวตรวจสอบความแข็งแกร่งของรหัสผ่าน
วางรหัสผ่านที่มีอยู่แต่ละรายการที่นี่เพื่อวัดคะแนนเอนโทรปีและตรวจสอบรูปแบบที่คาดเดาได้หรือคำในพจนานุกรม
เปิดเครื่องมือ
03

แฮชรหัสผ่านสำหรับการจัดเก็บ

อย่าจัดเก็บรหัสผ่านในรูปแบบข้อความธรรมดาเด็ดขาด Bcrypt เพิ่มเกลือโดยอัตโนมัติและถูกออกแบบให้ช้าโดยเจตนา ค่าแฮชแต่ละค่าใช้เวลาเป็นมิลลิวินาทีสำหรับคุณ แต่ทำให้การโจมตีแบบ brute-force มีค่าใช้จ่ายสูงเกินจริง

ตัวสร้าง Bcrypt
ป้อนรหัสผ่านและสร้างแฮช bcrypt ด้วยปัจจัยค่าใช้จ่ายที่เหมาะสม (แนะนำ 12) เพื่อจัดเก็บในฐานข้อมูลของคุณ
เปิดเครื่องมือ
04

แฮชข้อมูลเพื่อความสมบูรณ์

ตรวจสอบความสมบูรณ์ของไฟล์ สร้างค่าตรวจสอบสำหรับการปรับใช้ หรือสร้างตัวระบุที่แน่นอน SHA-256 เป็นมาตรฐานสำหรับค่าตรวจสอบในบริบทความปลอดภัย

ตัวสร้าง SHA-256
แฮชสิ่งประดิษฐ์การปรับใช้ ไฟล์การตั้งค่า หรือข้อมูลใดๆ เพื่อสร้างค่าตรวจสอบที่คุณสามารถยืนยันได้หลังจากการถ่ายโอนหรือจัดเก็บ
เปิดเครื่องมือ
05

เข้ารหัสข้อมูลที่ละเอียดอ่อน

สำหรับข้อมูลที่ต้องกู้คืนในภายหลัง (ต่างจากการแฮช) AES-256 คือมาตรฐานอุตสาหกรรม ใช้สำหรับเข้ารหัสโทเค็น ค่าการตั้งค่า หรือข้อมูลใดๆ ที่จัดเก็บไว้นอกแอปพลิเคชันของคุณ

การเข้ารหัส AES
เข้ารหัสโทเค็น API คีย์ลับ หรือค่าการตั้งค่าโดยใช้ AES-256 เพื่อให้สามารถจัดเก็บหรือส่งได้อย่างปลอดภัย
เปิดเครื่องมือ
06

เขียนนโยบายความปลอดภัยเนื้อหา

ส่วนหัว CSP ป้องกันการโจมตี XSS โดยควบคุมทรัพยากรที่เบราว์เซอร์สามารถโหลดได้ CSP ที่ตั้งค่าอย่างดีเป็นหนึ่งในการป้องกันที่มีประสิทธิภาพที่สุดต่อการฉีดสคริปต์

ตัวสร้าง CSP
สร้างส่วนหัว Content-Security-Policy โดยเลือกแหล่งที่มาที่แอปพลิเคชันของคุณใช้จริง จากนั้นคัดลอกค่าส่วนหัวไปยังการตั้งค่าเซิร์ฟเวอร์ของคุณ
เปิดเครื่องมือ
07

ตั้งค่าส่วนหัว CORS

CORS ที่ตั้งค่าไม่ถูกต้องเป็นช่องโหว่ API ที่พบบ่อย สร้างส่วนหัวที่แม่นยำเพื่ออนุญาตเฉพาะแหล่งกำเนิดที่ตั้งใจไว้เท่านั้น การใช้อักขระไวด์การ์ด (*) บนปลายทางที่มีข้อมูลรับรองถือเป็นข้อบกพร่องด้านความปลอดภัยที่วิกฤต

ตัวสร้างส่วนหัว CORS
ระบุแหล่งกำเนิด วิธีการ และส่วนหัวที่อนุญาตเพื่อสร้างค่าส่วนหัว Access-Control-* ที่แม่นยำที่ API ของคุณต้องการ
เปิดเครื่องมือ

เคล็ดลับจากผู้เชี่ยวชาญ

  • หมุนเวียนข้อมูลรับรองหลังจากการตรวจสอบทุกครั้ง แม้แต่รหัสผ่านที่แข็งแกร่งก็กลายเป็นความเสี่ยงหากใช้มานานกว่าหนึ่งปีโดยไม่หมุนเวียน
  • ใช้ปัจจัยค่าใช้จ่าย 12 ขึ้นไปสำหรับ bcrypt ในการผลิต บนฮาร์ดแวร์สมัยใหม่ ค่าใช้จ่าย 10 อาจถูกถอดรหัสได้เร็วกว่าที่คาดเมื่อพลังการประมวลผลเพิ่มขึ้น
  • ทดสอบ CSP ของคุณในโหมดรายงานเท่านั้น (Content-Security-Policy-Report-Only) ก่อนบังคับใช้ นโยบายที่ตั้งค่าไม่ถูกต้องอาจทำลายแอปพลิเคชันทั้งหมดของคุณ

คำถามที่พบบ่อย

การแฮชเป็นกระบวนการทางเดียว: คุณไม่สามารถย้อนกลับแฮชเพื่อรับข้อมูลต้นฉบับได้ ใช้เพื่อยืนยันความสมบูรณ์หรือจัดเก็บรหัสผ่าน การเข้ารหัสเป็นสองทาง: ข้อมูลสามารถถอดรหัสได้ด้วยคีย์ที่ถูกต้อง ใช้การแฮชสำหรับรหัสผ่านและค่าตรวจสอบ ใช้การเข้ารหัสสำหรับข้อมูลที่คุณต้องดึงกลับในภายหลัง

อย่างน้อย 16 ตัวอักษรสำหรับรหัสผ่านที่พิมพ์โดยมนุษย์ และ 32 ตัวอักษรขึ้นไปสำหรับข้อมูลรับรองที่สร้างโดยเครื่องเช่นคีย์ API ความยาวมีส่วนช่วยเอนโทรปีมากกว่าความหลากหลายของตัวอักษรเพียงอย่างเดียว สตริง 20 ตัวอักษรพิมพ์เล็กแข็งแกร่งกว่าสตริงผสม 10 ตัวอักษร

Bcrypt ดีกว่ามากสำหรับการจัดเก็บรหัสผ่าน SHA-256 ถูกออกแบบมาให้รวดเร็ว ซึ่งทำให้การโจมตีแบบ brute-force ทำได้ง่าย Bcrypt ช้าโดยเจตนาและมีเกลือในตัว ทำให้เป็นตัวเลือกที่ถูกต้องสำหรับการจัดเก็บรหัสผ่านผู้ใช้ SHA-256 เหมาะสำหรับค่าตรวจสอบและความสมบูรณ์ของข้อมูล ไม่ใช่การจัดเก็บข้อมูลรับรอง

ไม่ CSP ลดความเสี่ยงและผลกระทบของ XSS ได้อย่างมีนัยสำคัญ แต่ไม่สามารถกำจัดได้ทั้งหมด CSP ที่เขียนไม่ดีด้วยกฎที่กว้างเกินไป (เช่น unsafe-inline) ให้การป้องกันน้อยมาก CSP ทำงานได้ดีที่สุดในฐานะชั้นหนึ่งในแนวทางการป้องกันเชิงลึกร่วมกับการทำความสะอาดอินพุตและการเข้ารหัสเอาต์พุต

ไม่ เครื่องมือทุกชิ้นในเว็บไซต์นี้ทำงานอยู่ในเบราว์เซอร์ของคุณทั้งหมด รหัสผ่าน คีย์ และข้อมูลของคุณไม่เคยออกจากอุปกรณ์ของคุณ ไม่มีสิ่งใดถูกส่งไปยังเซิร์ฟเวอร์ใดๆ คุณสามารถยืนยันได้โดยตัดการเชื่อมต่ออินเทอร์เน็ตและใช้เครื่องมือ เครื่องมือจะยังคงทำงานต่อไป

ความปลอดภัยและความเป็นส่วนตัว

ความปลอดภัยของข้อมูลของคุณคือความสำคัญอันดับแรกของเรา

การประมวลผลภายใน

การประมวลผลทั้งหมดเกิดขึ้นในเบราว์เซอร์ของคุณ

ไม่มีการถ่ายโอนข้อมูล

ข้อมูลของคุณจะไม่ถูกส่งไปยังเซิร์ฟเวอร์ของเรา

ไม่มีการจัดเก็บข้อมูล

ไม่มีข้อมูลถูกเก็บหรือแบ่งปัน

การเข้ารหัส SSL

การเข้ารหัส SSL สำหรับการเชื่อมต่อที่ปลอดภัย