Please enable JavaScript.
Coggle requires JavaScript to display documents.
Protección de rutas. - Coggle Diagram
Protección de rutas.
Backend
La interfaz es del lado del cliente, es la parte con la que interactúa el usuario. Normalmente, está construido con HTML, CSS y Javascript.
-
La gestión de sesiones se refiere a las respuestas y las transacciones de solicitud asociadas con el mismo usuario. Es un mecanismo de intercambio que se utiliza entre el usuario y la aplicación después de que se haya autenticado correctamente.
La autenticación se refiere a probar la identidad del usuario (p. Ej., Contraseña, nombre de usuario, preguntas sobre seguridad, huellas digitales).
El control de acceso se refiere a lo que el usuario puede acceder a la aplicación. Hace cumplir la política de que los usuarios no pueden actuar fuera de sus permisos previstos.
-
Injection flaws
Las fallas de inyección permiten a un usuario proporcionar datos que contienen palabras clave que modificarán el comportamiento de las consultas creadas en la base de datos.
-
Escapa de todas las entradas. Un campo de fecha nunca debe tener nada más almacenado, excepto fechas.
Aísle sus datos para que solo las cosas a las que se debe acceder desde una ubicación determinada se mantengan en esa ubicación.
Escribe códigos de error de buen manejo. No hagas que tu base de datos o tu backend sean demasiado detallados.
-
Broken authentication
-
-
-
Utilice un algoritmo hash eficiente. Al elegir un algoritmo, considere la longitud máxima de la contraseña.
Pruebe el sistema de tiempo de espera de la sesión y asegúrese de que el token de la sesión se invalide después de cerrar la sesión.
-
-
Data Exposure
Cifre los datos confidenciales: para los datos en REST, cifre todo. Para los datos en tránsito, asegúrese de utilizar puertas de enlace seguras ( SSL )
Identifique los datos que requieren protección adicional y limite la accesibilidad a solo un grupo de usuarios legítimos aplicando el cifrado basado en claves.
-
-
-
Server XSS
Validar la entrada: verifique la longitud de la entrada, use la coincidencia de expresiones regulares y solo permita un cierto conjunto de caracteres.
Validar el resultado: si la aplicación copia en sus respuestas cualquier elemento de datos que se originó en algún usuario o un tercero, estos datos deben estar codificados en HTML para desinfectar caracteres potencialmente maliciosos.
Permitir HTML limitado: por ejemplo, si tiene un sistema de blogs de comentarios, solo permita el uso de determinadas etiquetas. Si puede, utilice un marco adecuado para el marcado HTML proporcionado por el usuario para asegurarse de que no contenga ningún medio para ejecutar JavaScript.
-
Insecure deserialization
-
Validar datos: si su aplicación a excepción de una cadena, asegúrese de que sea una cadena antes de usarla
Utilice una verificación para asegurarse de que los datos no se hayan modificado. Es útil enviar datos entre dos fuentes confiables (por ejemplo, almacenar datos del lado del cliente).
