如何保护我的SaaS启动？

Question

我偶然发现了这个问题

我也愿意为我的创业公司提供安全建议。

目标:构建一个SaaS网络应用程序，使企业能够快速开放类似雅虎的在线商店！商店。

编程:主要由我来完成。有时我雇自由职业者帮我做一些我不知道的事情。

我在我的web应用程序中使用CakePHP框架。

托管:使用Amazon服务和其他类似弹性负载平衡的Amazon服务。

系统管理:我正在运行Ubuntu服务器10.04

我知道这仍然是一个高层次的问题。让我把它分成几个子区域。

编程，与自由职业者

合作

我正在ProjectLocker上使用git和远程git。我不是git方面的专家。我只知道git添加，git提交-a，git推，git合并，git签出，git拉。

当自由职业者为我工作时，我总是告诉他们把他们的工作放在一个独立的分支中，我会把自己合并到主要的分支中。

不确定那里是否有安全漏洞。请让我知道。

编程，代码本身

好吧，你们看不到代码，但我使用的是CakePHP框架。

我认为我做的一切都是正确的，除了我不得不禁用CSRF保护有时允许某些闪存插件工作。

不太确定我该怎么办。

不确定那里是否有安全漏洞。请让我知道。

部署

我用卡皮斯特拉诺为我做部署。基本上，我认为capistrano ssh已经进入服务器，并从那里指示它从远程存储库进行git提取。

基本上，我从某个地方复制和粘贴了capistrano部署脚本，并对其进行了修改。

不确定那里是否有安全漏洞。请让我知道。

面向用户的

网络应用程序

刚刚购买并安装了SSL证书。我必须为我的用户使用通配符证书，为各个子域使用一个通配符证书，为注册页面使用一个标准SSL证书。

没有购买扩展验证SSL证书。我不认为我需要它。

不确定那里是否有安全漏洞。请让我知道。

系统管理、协作、托管：

我没有关于如何使用安全更新更新我的服务器的协议，因为我还没有运行。

我很感激Ubuntu新手可以使用的一些简单的东西。

亚马逊网络服务，系统管理，协作：

我雇了一个sys管理员自由职业者来帮助我安装SSL证书，因为：( a)我不熟悉Linux，b)我不熟悉Amazon服务

如果将来我雇了一个人来帮我解决Ubuntu或Amazon服务的问题，我如何做到这一点而又不让我的SaaS处于危险之中呢？

我给亚马逊服务看了这个

不知道该怎么用。

有人能给我一个好的协议，让雇用的自由职业者以安全的方式解决我的系统管理问题吗？

其他领域我还没有想到

请让我知道。

Answer 1

好吧，这个答案绝不是详尽无遗的，因为这是一个很大的问题，但是在我的头上有一些想法：

GIT：

这是好的，你是做自己的合并，这是否意味着你要处理所有的差异？如果你不这样做，编码器的信任可能是一个POF，但如果你要取决于合并的数量，期望花费大量的时间做所有的差异化自己。

方案拟订/框架：

可能要小心禁用CSRF，无论何时您这样做，并有闪光灯，可能会有一些恶劣的利用。防止这种情况的最佳办法是确保您有真正可靠的会话处理，并在任何时候验证用户正在访问某个资源。您可以在这里找到一些关于普通CSRF的更多信息：CSRF常见问题。另外，还要注意此漏洞。我对CakePHP不太熟悉，但最好的方法是确保对CakePHP实例进行消毒、白名单、使用ACL等。这里是向CakePHP实例添加一些附加安全性的一种非常基本的方法。

服务器安全：

我对卡皮斯特拉诺没有太多的经验，但据我所知，这是一个相当坚实的工具，只要你已经抓起了一个可靠的叉子。我将更多地认识到SSH处理本身的漏洞，因为在我看来，这是capistrano最有可能被利用的地方。至于网络服务器安全，我认为亚马逊是最好的选择之一。

SSL：

我会对通配符证书非常小心。如果您的一个子域被破坏，您的整个网络也会被破坏。只要有一个证书颁发机构存在漏洞，您的所有客户和他们的数据就会受到损害。由于您正在进行电子商务，因此对客户数据拥有最高级别的安全性是非常重要的。

摘要：

总之，我真的建议雇用一个网络应用程序安全专家谁是可信的领域，并有经验，看看你的应用程序。由于您将处理财务数据(这是最敏感的类型之一)，因此对您的软件进行全面的详细检查是非常重要的。我知道当你刚开始的时候很难，但是如果你不花时间彻底保护你的应用程序，一个漏洞就会毁掉你的整个业务。

希望有帮助:)

Answer 2

(1)首先掌握OWASP前十名。

2)安装Web应用防火墙。他们被支付卡行业的需求是有原因的(PCI)。

3)用PHPSecInfo对PHP进行锁定。

5) 封锁你的数据库。

6)使用静态代码分析(如RIPS-PHP )来跟踪代码中的严重漏洞。

7)使用Linux，特别是Ubuntu，因为AppArmor破坏了漏洞。

8)最后但并非最不重要的是，测试您的代码web应用程序是否存在漏洞。这不需要花费很多钱，舱口有一个免费的漏洞扫描服务。

Answer 3

除了@Rook的评论之外，如果我在Internet上运行服务器，我强烈建议使用OSSEC。伟大的免费日志分析/HIDS软件。我把它放在我所有的面向公众的工具上。