Web2py-セキュリティ

前の章では、さまざまなツールを使用したweb2pyの実装に関する完全な情報がありました。web2pyアプリケーションを開発する際の主な懸念事項には、ユーザーの観点からのセキュリティが含まれます。

web2pyのユニークな機能は次のとおりです-

  • ユーザーは実装を簡単に学ぶことができます。インストールや依存関係は必要ありません。

  • 発売日から安定しています。

  • web2pyは軽量で、データ抽象化レイヤーとテンプレート言語のライブラリが含まれています。

  • これは、Webサーバーとアプリケーション間の通信として機能するWebサーバーゲートウェイインターフェイスの助けを借りて機能します。

オープンWebアプリケーションセキュリティプロジェクト(OWASP)は、Webアプリケーションのセキュリティ違反を一覧表示するコミュニティです。

セキュリティ違反

OWASPに関して、Webアプリケーションに関連する問題とweb2pyがそれらをどのように克服するかについて以下で説明します。

クロスサイドスクリプティング

XSSとしても知られています。これは、アプリケーションがユーザー提供のデータを取得し、コンテンツをエンコードまたは検証せずにユーザーのブラウザーに送信するたびに発生します。攻撃者はスクリプトを実行して、クロスサイドスクリプティングを使用してワームやウイルスを注入します。

web2pyは、レンダリングされたすべての変数を防止することにより、XSSの防止に役立ちます。 View

情報漏えい

時々、アプリケーションは内部の仕組み、プライバシー、構成に関する情報を漏らします。攻撃者はこれを使用して機密データを侵害し、深刻な攻撃につながる可能性があります。

web2pyは、チケットシステムによってこれを防ぎます。すべてのエラーをログに記録し、エラーが登録されているユーザーにチケットが発行されます。これらのエラーには、管理者のみがアクセスできます。

壊れた認証

アカウントの資格情報は保護されていないことがよくあります。攻撃者は、パスワードや認証トークンを侵害して、ユーザーのIDを盗みます。

web2pyは、管理インターフェースのメカニズムを提供します。また、クライアントが「localhost」でない場合は、安全なセッションを使用するように強制されます。

安全でない通信

アプリケーションがネットワークトラフィックの暗号化に失敗することがあります。機密性の高い通信を保護するには、トラフィックを管理する必要があります。

web2pyは、通信の暗号化を提供するSSL対応の証明書を提供します。これは、機密性の高いコミュニケーションを維持するのにも役立ちます。

URLアクセスの制限

Webアプリケーションは通常、一部のユーザーへのリンクとURLの表示を防ぐことにより、機密性の高い機能を保護します。攻撃者は、いくつかの情報を含むURLを操作することにより、いくつかの機密データを侵害しようとする可能性があります。

wb2pyでは、URLは、指定されたファイルではなく、モジュールと関数にマップされます。また、どの関数がパブリックで、どの関数がプライベートとして維持されるかを指定するメカニズムも含まれています。これは、問題の解決に役立ちます。