使用web界面保护金融应用程序

Question

我正在设计一个应用程序，用户可以通过web界面远程登录并使用它。

安全性是最重要的(考虑信用卡和个人银行类型的信息)-所以我需要确保我的安全方面-努力。

我打算通过传统的(有状态的)网页以及web服务来提供应用程序功能。

无论如何，我打算使用web2py作为我的web应用程序框架。

是否有一个我可以遵循的指导原则列表，以确保我覆盖了所有领域？

Answer 1

一站式购物：https://www.owasp.org/index.php/Main_Page

读一读这篇文章，把每一个建议都放在心上。

Answer 2

您至少应该考虑以下几点：

• authentication.让用户以某种方式登录。它们使用哪种身份验证方法取决于您的provide
• privacy.目标确保他们发送的信息只对他们和您的应用程序可见，而不是窃听者。

在最简单的情况下，SSL可以同时处理上述两种情况。它将始终提供加密，但也可以用于身份验证，或者至少使一些简单的身份验证机制更安全。需要注意的一件事是ssl的安全性。当用户已经与例如他们的雇主具有信任关系时，ssl对于中间人来说是成功的，特别是当用户已经与他们的雇主具有信任关系时，他们可以继续安装实际上是mim的ssl网关。

• authorisation.确保用户只能看到您希望他们看到的内容，而不能看到更多内容。

这真的取决于你正在使用的技术。

• 不可抵赖性。确保用户不会对他们执行的操作提出异议

这是一个非常开放的问题。从法律上讲，这种情况很少发生(从来没有？)使用了，所以它取决于...例如，像用户请求操作的签名日志这样的东西可能就足够了。

Answer 3

到目前为止，你最大的威胁是编写服务器端的webapp代码，这会在你的web应用层引入漏洞。这不是你可以检查的东西。作为一个初学者，请确保您对OWASP Top Ten中的项目100%满意，并了解如何安全地针对它们进行编码。如果您不是web应用程序漏洞方面的专家，请强烈考虑聘请帮助审查web层的人员。至少，我会考虑联系安全测试公司来执行某种形式的渗透测试，最好是使用代码审查组件。

如果您对信用卡数据进行任何操作，您将需要遵守PCI DSS，该DSS将要求至少每季度从经批准的扫描供应商处进行远程测试。