Web2py - Bảo mật
Trong các chương trước, đã có thông tin đầy đủ về việc triển khai web2py với các công cụ khác nhau. Mối quan tâm chính để phát triển các ứng dụng web2py bao gồm bảo mật từ quan điểm của người dùng.
Các tính năng độc đáo của web2py như sau:
Người dùng có thể tìm hiểu cách thực hiện một cách dễ dàng. Nó không yêu cầu cài đặt và phụ thuộc.
Nó đã ổn định kể từ ngày ra mắt.
web2py nhẹ và bao gồm các thư viện cho Lớp trừu tượng dữ liệu và ngôn ngữ mẫu.
Nó hoạt động với sự trợ giúp của Giao diện Cổng vào Máy chủ Web, hoạt động như một giao tiếp giữa các máy chủ web và các ứng dụng.
Dự án bảo mật ứng dụng web mở (OWASP) là một cộng đồng liệt kê các vi phạm bảo mật của ứng dụng web.
Vi phạm an ninh
Đối với OWASP, các vấn đề liên quan đến ứng dụng web và cách web2py khắc phục chúng được thảo luận bên dưới.
Cross Side Scripting
Nó còn được gọi là XSS. Nó xảy ra bất cứ khi nào ứng dụng lấy dữ liệu do người dùng cung cấp và gửi đến trình duyệt của người dùng mà không mã hóa hoặc xác thực nội dung. Những kẻ tấn công thực thi các tập lệnh để tiêm sâu và vi rút bằng cách sử dụng kịch bản chéo bên.
web2py giúp ngăn chặn XSS bằng cách ngăn chặn tất cả các biến được hiển thị trong View.
Rò rỉ thông tin
Đôi khi, các ứng dụng làm rò rỉ thông tin về hoạt động nội bộ, quyền riêng tư và cấu hình. Những kẻ tấn công sử dụng điều này để vi phạm dữ liệu nhạy cảm, có thể dẫn đến các cuộc tấn công nghiêm trọng.
web2py ngăn chặn điều này bằng hệ thống bán vé. Nó ghi lại tất cả các lỗi và vé được cấp cho người dùng có lỗi đang được đăng ký. Những lỗi này chỉ quản trị viên mới có thể truy cập được.
Xác thực bị hỏng
Thông tin đăng nhập tài khoản thường không được bảo vệ. Những kẻ tấn công xâm nhập vào mật khẩu, mã thông báo xác thực để đánh cắp danh tính của người dùng.
web2py cung cấp một cơ chế cho giao diện quản trị. Nó cũng buộc phải sử dụng các phiên bảo mật khi máy khách không phải là “localhost”.
Truyền thông không an toàn
Đôi khi các ứng dụng không mã hóa được lưu lượng mạng. Cần phải quản lý lưu lượng để bảo vệ các thông tin liên lạc nhạy cảm.
web2py cung cấp chứng chỉ hỗ trợ SSL để cung cấp mã hóa thông tin liên lạc. Điều này cũng giúp duy trì giao tiếp nhạy cảm.
Hạn chế quyền truy cập URL
Các ứng dụng web thường bảo vệ chức năng nhạy cảm bằng cách ngăn hiển thị các liên kết và URL cho một số người dùng. Những kẻ tấn công có thể cố gắng xâm phạm một số dữ liệu nhạy cảm bằng cách thao túng URL với một số thông tin.
Trong wb2py, một URL ánh xạ tới các mô-đun và chức năng hơn là tệp đã cho. Nó cũng bao gồm một cơ chế, chỉ định chức năng nào là công khai và chức năng nào được duy trì dưới dạng riêng tư. Điều này giúp giải quyết vấn đề.