HTTPプロキシを作成する際には、どのようなセキュリティ上の問題について考える必要がありますか?

私の会社は元のウェブサイトのページを取り込んでそれを翻訳するHTTPプロキシを書いています。 Google、Bingなどが提供するウェブ翻訳サービスのラインに沿って何かを考える

私は、サービスと関連するWebサイトのセキュリティテストの途中です。もちろん、私がまだ考えていないサイトの百万回の攻撃や誤用が起こるでしょう。さらに私は、私たちのサイトが第三者サイトに対する匿名の攻撃を可能にするベクターになることを望んでいません。このサイトは、開かれた日から多くの人々の目に触れるので、私たちのサービスと私たちのサービスで訪れたサイトの両方のセキュリティを確保することが私に関するものです。

誰でもセキュリティテストのためにオンラインまたは公開情報に私を指摘できますか?例えば気になる攻撃の良いリスト、Webサイト/プロキシ/ etcを作成するためのセキュリティのベストプラクティス。セキュリティ上の問題(XSS、CSRF、SQLインジェクションなど)についてよく理解しています。セキュリティテストのテストを作成するための具体的な手助けをするリソースを探しています。

すべてのポインタ?

見た:

2

1 答え

翻訳サービスの最も明らかな問題:

  • プロキシが内部ネットワークにアクセスできないことを確認します。最初のリリースでは思ったがほとんどが忘れていたときは明白だった。 http://127.0.0.1 などで翻訳をリクエストできないようにする必要があります問題。巧妙な攻撃は http://127.0.0.1/trace.axd となり、必要以上に公開されます。それはローカルホストからの要求を考えています。また、そのシステムと他のシステムとの間にIPベースの制限がある場合は、そのシステムについても注意する必要があります。
  • XSSは明白な問題です。翻訳が別のドメイン(Google翻訳など)でユーザーに配信されていることを確認してください。これは非常に重要なことですが、XSS攻撃をうまくフィルタリングできるとは考えていません。

Other than that for all other common web security issues, there are lots of things to do. OWASP is the best resource to start for automated testing there are free tools such as Netsparker and Skipfish

2
追加された