Web2py - Sicherheit

In den vorherigen Kapiteln gab es vollständige Informationen zur Implementierung von web2py mit verschiedenen Tools. Das Hauptanliegen bei der Entwicklung von web2py-Anwendungen ist die Sicherheit aus Anwendersicht.

Die einzigartigen Funktionen von web2py sind wie folgt:

  • Benutzer können die Implementierung leicht erlernen. Es erfordert keine Installation und Abhängigkeiten.

  • Es ist seit dem Tag des Starts stabil.

  • web2py ist leichtgewichtig und enthält Bibliotheken für die Datenabstraktionsebene und die Vorlagensprache.

  • Es funktioniert mit Hilfe der Webserver-Gateway-Schnittstelle, die als Kommunikation zwischen Webservern und Anwendungen fungiert.

Open Web Application Security Project (OWASP) ist eine Community, die die Sicherheitsverletzungen von Webanwendungen auflistet.

Sicherheitsverstoss

In Bezug auf OWASP werden im Folgenden Probleme im Zusammenhang mit Webanwendungen und deren Überwindung durch web2py erörtert.

Cross Side Scripting

Es ist auch als XSS bekannt. Es tritt immer dann auf, wenn eine Anwendung von einem Benutzer bereitgestellte Daten aufnimmt und an den Browser des Benutzers sendet, ohne den Inhalt zu codieren oder zu validieren. Die Angreifer führen Skripte aus, um Würmer und Viren mithilfe von Cross-Side-Scripting zu injizieren.

web2py hilft bei der Verhinderung von XSS, indem alle gerenderten Variablen in der View.

Informationsleck

Manchmal verlieren Anwendungen Informationen über interne Abläufe, Datenschutz und Konfigurationen. Angreifer verwenden dies, um vertrauliche Daten zu verletzen, was zu schwerwiegenden Angriffen führen kann.

web2py verhindert dies durch ein Ticketingsystem. Es protokolliert alle Fehler und das Ticket wird an den Benutzer ausgegeben, dessen Fehler registriert wird. Diese Fehler sind nur für den Administrator zugänglich.

Unterbrochene Authentifizierung

Kontoanmeldeinformationen werden häufig nicht geschützt. Angreifer gehen Kompromisse bei Passwörtern und Authentifizierungstoken ein, um die Identität des Benutzers zu stehlen.

web2py bietet einen Mechanismus für die Verwaltungsschnittstelle. Es erzwingt auch die Verwendung sicherer Sitzungen, wenn der Client nicht "localhost" ist.

Unsichere Kommunikation

Manchmal können Anwendungen den Netzwerkverkehr nicht verschlüsseln. Es ist erforderlich, den Datenverkehr zu verwalten, um vertrauliche Kommunikation zu schützen.

web2py bietet SSL-fähige Zertifikate für die Verschlüsselung der Kommunikation. Dies hilft auch dabei, eine sensible Kommunikation aufrechtzuerhalten.

Einschränkung beim URL-Zugriff

Webanwendungen schützen normalerweise die vertraulichen Funktionen, indem sie die Anzeige der Links und URLs für einige Benutzer verhindern. Angreifer können versuchen, vertrauliche Daten zu verletzen, indem sie die URL mit einigen Informationen bearbeiten.

In wb2py wird eine URL den Modulen und Funktionen und nicht der angegebenen Datei zugeordnet. Es enthält auch einen Mechanismus, der angibt, welche Funktionen öffentlich sind und welche als privat verwaltet werden. Dies hilft bei der Lösung des Problems.