Web2py - Keamanan
Pada bab-bab sebelumnya terdapat informasi lengkap tentang implementasi web2py dengan berbagai alat. Perhatian utama untuk mengembangkan aplikasi web2py mencakup keamanan dari sudut pandang pengguna.
Fitur unik web2py adalah sebagai berikut -
Pengguna dapat mempelajari implementasinya dengan mudah. Tidak membutuhkan instalasi dan ketergantungan.
Sudah stabil sejak hari peluncuran.
web2py ringan dan mencakup pustaka untuk Lapisan Abstraksi Data dan bahasa template.
Ia bekerja dengan bantuan Web Server Gateway Interface, yang bertindak sebagai komunikasi antara server web dan aplikasi.
Proyek keamanan aplikasi web terbuka (OWASP) adalah komunitas, yang mencantumkan pelanggaran keamanan aplikasi web.
Pelanggaran Keamanan
Sehubungan dengan OWASP, masalah yang terkait dengan aplikasi web dan bagaimana web2py mengatasinya dibahas di bawah ini.
Skrip Sisi Silang
Ia juga dikenal sebagai XSS. Ini terjadi setiap kali aplikasi mengambil data yang diberikan pengguna dan mengirimkannya ke browser pengguna tanpa menyandikan atau memvalidasi konten. Para penyerang mengeksekusi skrip untuk menginjeksi worm dan virus menggunakan skrip lintas sisi.
web2py membantu mencegah XSS dengan mencegah semua variabel yang dirender di file View.
Kebocoran Informasi
Terkadang, aplikasi membocorkan informasi tentang cara kerja internal, privasi, dan konfigurasi. Penyerang menggunakan ini untuk membobol data sensitif, yang dapat menyebabkan serangan serius.
web2py mencegah hal ini dengan sistem tiket. Itu mencatat semua kesalahan dan tiket dikeluarkan untuk pengguna yang kesalahannya sedang didaftarkan. Kesalahan ini hanya dapat diakses oleh administrator.
Otentikasi Rusak
Kredensial akun sering kali tidak dilindungi. Penyerang berkompromi pada kata sandi, token otentikasi untuk mencuri identitas pengguna.
web2py menyediakan mekanisme untuk antarmuka administratif. Ini juga memaksa untuk menggunakan sesi aman ketika klien bukan "localhost".
Komunikasi Tidak Aman
Terkadang aplikasi gagal mengenkripsi lalu lintas jaringan. Penting untuk mengatur lalu lintas untuk melindungi komunikasi sensitif.
web2py menyediakan sertifikat berkemampuan SSL untuk menyediakan enkripsi komunikasi. Ini juga membantu menjaga komunikasi sensitif.
Pembatasan dalam Akses URL
Aplikasi web biasanya melindungi fungsionalitas sensitif dengan mencegah tampilan tautan dan URL ke beberapa pengguna. Penyerang dapat mencoba membobol beberapa data sensitif dengan memanipulasi URL dengan beberapa informasi.
Di wb2py, URL memetakan ke modul dan fungsi daripada file yang diberikan. Ini juga mencakup mekanisme, yang menentukan fungsi mana yang publik dan mana yang dipertahankan sebagai privat. Ini membantu dalam menyelesaikan masalah.