MoreOnlineTools
ESC

Güvenlik Denetim Kiti

Uygulamanızın güvenlik düzeyini artırmak için 7 adımlı iş akışı

Güvenlik Denetim Kiti

Bu iş akışı, bir web uygulamasının veya sunucu ortamının güvenliğini denetlemek ve iyileştirmek isteyen geliştiriciler ve sistem yöneticileri içindir. Kimlik bilgisi hijyeni, veri koruma ve HTTP güvenlik başlıklarını kapsamak için adımları sırasıyla takip edin. Sonunda en yaygın saldırı vektörlerini — zayıf parolalar, düz metin depolama, şifrelenmemiş veriler ve yanlış yapılandırılmış tarayıcı politikaları — ele almış olacaksınız.

7 adım ~20 dk 7 araç
01

Güçlü Kimlik Bilgileri Oluşturun

Zayıf parolalar, güvenlik ihlallerinin başlıca nedenidir. Tüm servis hesapları, API anahtarları ve yönetici kimlik bilgileri için kriptografik olarak rastgele parolalar oluşturun.

Parola Oluşturucu
Büyük harf, küçük harf, rakam ve sembol içeren en az 16 karakterlik kriptografik olarak rastgele bir parola oluşturun.
Aracı Aç
02

Mevcut Parolaları Test Edin

Mevcut bir parolaya güvenmeden önce, onu entropi hesaplamaları ve yaygın örüntü tespitine göre değerlendirin. 70 bitin altındaki entropi değerine sahip her şey değiştirilmelidir.

Parola Gücü Denetleyicisi
Her mevcut parolayı buraya yapıştırarak entropi puanını ölçün ve öngörülebilir örüntüleri veya sözlük sözcüklerini kontrol edin.
Aracı Aç
03

Parolaları Depolama için Hashleyin

Parolaları asla düz metin olarak saklamayın. Bcrypt otomatik bir tuz ekler ve kasıtlı olarak yavaştır — her hash sizin için milisaniyeler alır ancak kaba kuvvet saldırılarını son derece pahalı hale getirir.

Bcrypt Oluşturucu
Bir parola girerek veritabanınızda saklamak için uygun maliyet faktöründe (12 önerilir) bir bcrypt hash oluşturun.
Aracı Aç
04

Bütünlük için Veri Hashleyin

Dosya bütünlüğünü doğrulayın, dağıtımlar için sağlama toplamları oluşturun veya deterministik tanımlayıcılar üretin. SHA-256, güvenlik bağlamlarında sağlama toplamları için standarttır.

SHA-256 Oluşturucu
Transfer veya depolama sonrasında doğrulayabileceğiniz bir sağlama toplamı oluşturmak için dağıtım dosyalarını, yapılandırma dosyalarını veya herhangi bir veriyi hashleyin.
Aracı Aç
05

Hassas Verileri Şifreleyin

Daha sonra geri alınması gereken veriler için (hashların aksine) AES-256 endüstri standardıdır. Token'ları, yapılandırma değerlerini veya uygulamanızın dışında depolanan verileri şifrelemek için kullanın.

AES Şifreleme
API token'larını, gizli anahtarları veya yapılandırma değerlerini güvenle depolanabilmesi veya aktarılabilmesi için AES-256 kullanarak şifreleyin.
Aracı Aç
06

İçerik Güvenlik Politikası Yazın

CSP başlıkları, tarayıcıların yükleyebileceği kaynakları kontrol ederek XSS saldırılarını önler. İyi yapılandırılmış bir CSP, betik enjeksiyonuna karşı en etkili savunmalardan biridir.

CSP Oluşturucu
Uygulamanızın gerçekte kullandığı kaynakları seçerek bir Content-Security-Policy başlığı oluşturun, ardından başlık değerini sunucu yapılandırmanıza kopyalayın.
Aracı Aç
07

CORS Başlıklarını Yapılandırın

Yanlış yapılandırılmış CORS, yaygın bir API güvenlik açığıdır. Yalnızca amaçlanan kaynaklara izin vermek için kesin başlıklar oluşturun — kimlik bilgisi gerektiren bir uç noktada joker karakter (*) kullanmak kritik bir güvenlik açığıdır.

CORS Başlık Oluşturucu
API'nizin ihtiyaç duyduğu tam Access-Control-* başlık değerlerini oluşturmak için izin verilen kaynak, yöntem ve başlıkları belirtin.
Aracı Aç

Profesyonel İpuçları

  • Her denetimin ardından kimlik bilgilerini değiştirin. Güçlü bir parola bile bir yıl veya daha uzun süre rotasyon yapılmadan kullanılırsa risk oluşturur.
  • Üretim ortamında bcrypt için 12 veya daha yüksek bir maliyet faktörü kullanın. Modern donanımda, bilgi işlem gücü büyüdükçe maliyet 10 beklenenden daha hızlı kırılabilir.
  • CSP'yi uygulamadan önce yalnızca raporlama modunda test edin (Content-Security-Policy-Report-Only) — yanlış yapılandırılmış bir politika tüm uygulamanızı bozabilir.

Sık Sorulan Sorular

Hashleme tek yönlü bir işlemdir: bir hash'i özgün veriye geri döndüremezsiniz. Bütünlüğü doğrulamak veya parolaları depolamak için kullanılır. Şifreleme iki yönlüdür: doğru anahtarla verinin şifresi çözülebilir. Parolalar ve sağlama toplamları için hashleme; daha sonra almanız gereken veriler için şifreleme kullanın.

İnsan tarafından yazılan parolalar için en az 16 karakter, API anahtarları gibi makine tarafından oluşturulan kimlik bilgileri için 32+ karakter. Uzunluk, karakter çeşitliliğinden daha fazla entropi sağlar — 20 karakterlik küçük harf dizisi, 10 karakterlik karışık diziden daha güçlüdür.

Bcrypt, parola depolama için çok daha iyidir. SHA-256 hızlı olacak şekilde tasarlanmıştır, bu da onu kaba kuvvet uygulamasını kolaylaştırır. Bcrypt kasıtlı olarak yavaştır ve yerleşik bir tuz içerir, bu da kullanıcı parolalarını depolamak için doğru seçimdir. SHA-256, sağlama toplamları ve veri bütünlüğü için uygundur, kimlik bilgisi depolama için değil.

Hayır, CSP XSS riskini ve etkisini önemli ölçüde azaltır ancak tamamen ortadan kaldırmaz. Aşırı geniş kurallar içeren (unsafe-inline gibi) kötü yazılmış bir CSP çok az koruma sağlar. CSP, giriş sanitizasyonu ve çıktı kodlamasının yanı sıra derinlemesine savunma yaklaşımında bir katman olarak en iyi çalışır.

Hayır. Bu sitedeki her araç tamamen tarayıcınızda çalışır. Parolalarınız, anahtarlarınız ve verileriniz hiçbir zaman cihazınızı terk etmez — hiçbir şey herhangi bir sunucuya gönderilmez. Bunu internetten bağlantınızı keserek araçları kullanarak doğrulayabilirsiniz; çalışmaya devam edecekler.

Güvenlik ve Gizlilik

Verilerinizin güvenliği bizim önceliğimiz

Yerel İşleme

Tüm işlemler tarayıcınızda gerçekleşir

Veri Transferi Yok

Verileriniz sunucularımıza gönderilmez

Veri Depolama Yok

Hiçbir veri depolanmaz veya paylaşılmaz

SSL Şifreleme

Güvenli bağlantı için SSL şifreleme