Care este domeniul dvs. de aplicare? Depinde.
Deoarece ați folosit cuvântul "Agil", cred că este o aplicație web. Am un răspuns ușor de ușor pentru tine.
Mergeți să cumpărați o copie a Burp Suite (este rezultatul # 1 Google pentru "burp" --- o aprobare sigură!); va costa 99EU, sau ~ $ 180USD, sau $ 98 de dolari Obama dacă așteptați până în noiembrie.
Burp funcționează ca un proxy web. Navigați prin intermediul aplicației web folosind Firefox sau IE sau orice altceva și colectează toate înregistrările pe care le generați. Aceste rezultate sunt alimentate într-o funcție denumită "Intruder", care este un fuzzer web. Intrusul va descoperi toți parametrii pe care îi oferiți fiecăruia dintre agenții dvs. de interogare. Acesta va încerca apoi valori nebune pentru fiecare parametru, inclusiv SQL, sistem de fișiere și metacaractere HTML. Pe un post de tip complex, tipic, aceasta va genera aproximativ 1500 de hit-uri, pe care le veți căuta pentru a identifica înfricoșător - sau, mai important, într-un context Agil, noi răspunsuri de eroare.
Fuzzind fiecare manipulator de interogări în aplicația web la fiecare versiune de lansare este cel mai bun lucru pe care îl puteți face pentru a îmbunătăți securitatea aplicației fără a institui un SDLC formal și pentru a adăuga un număr de angajați. Dincolo de asta, examinați codul pentru punctele fierbinți de securitate importante pentru aplicațiile web:
-
Utilizați numai instrucțiuni SQL pregătite parametrizate; nu trebuie doar să concatenați șirurile și să le alimentați cu mânerul bazei de date.
-
Filtrați toate intrările într-o listă albă de caractere cunoscute (alnum, punctuație de bază) și, mai important, extrageți datele de filtrare din rezultatele interogării pentru a "neutraliza" metacaractele HTML în entitățile HTML gt, etc.).
-
Utilizați identificatori lungi aleatorii greu de ghicit oriunde utilizați în prezent ID-uri de rând simple întregi în parametrii de interogare și asigurați-vă că utilizatorul X nu poate vedea datele utilizatorului Y doar prin ghicirea acelor identificatori. >
-
Testați fiecare manipulator de interogări din aplicația dvs. pentru a vă asigura că funcționează numai atunci când este prezentată o cookie de sesiune validă, logată.
-
Activați protecția XSRF în stivă web, care va genera parametrii de tip token ascunse pe toate formularele redate, pentru a împiedica atacatorii să creeze link-uri rău intenționate care să trimită formulare pentru utilizatorii care nu se întreabă.
li>
-
Utilizați bcrypt --- și nimic altceva --- pentru a stoca parolele hashed.