ProHoster > Blogs > AdministrÄcija > VietÅu droŔības nÄves grÄki: ko mÄs uzzinÄjÄm no ievainojamÄ«bas skenera statistikas par gadu
VietÅu droŔības nÄves grÄki: ko mÄs uzzinÄjÄm no ievainojamÄ«bas skenera statistikas par gadu
ApmÄram pirms gada mÄs DataLine uzsÄkÄm darbu pakalpojumu lai meklÄtu un analizÄtu IT lietojumprogrammu ievainojamÄ«bas. Pakalpojuma pamatÄ ir Qualys mÄkoÅrisinÄjums, par kura darbÄ«bu mÄs jau teicÄm. Gada laikÄ, strÄdÄjot ar risinÄjumu, mÄs veicÄm 291 meklÄÅ”anu dažÄdÄm vietnÄm un uzkrÄjÄm statistiku par izplatÄ«tÄm tÄ«mekļa lietojumprogrammu ievainojamÄ«bÄm.
TÄlÄk esoÅ”ajÄ rakstÄ es jums parÄdÄ«Å”u, kÄdi caurumi vietÅu droŔībÄ slÄpjas aiz dažÄdiem kritiskuma lÄ«meÅiem. ApskatÄ«sim, kÄdas ievainojamÄ«bas skeneris atklÄja Ä«paÅ”i bieži, kÄpÄc tÄs varÄtu rasties un kÄ sevi pasargÄt.
Qualys visas tÄ«mekļa lietojumprogrammu ievainojamÄ«bas iedala trÄ«s kritiskuma lÄ«meÅos: zemÄ, vidÄjÄ un augstÄ. Ja paskatÄs uz sadalÄ«jumu pÄc āsmagumaā, Ŕķiet, ka viss nav tik slikti. Ir dažas ievainojamÄ«bas ar augstu kritiskuma lÄ«meni, pÄrsvarÄ visas ir nekritiskas:
Bet nekritisks nenozÄ«mÄ nekaitÄ«gu. Tie var arÄ« radÄ«t nopietnus bojÄjumus.
PopulÄrÄkÄs ānekritiskÄsā ievainojamÄ«bas
Jaukta satura ievainojamības.
Vietnes droŔības standarts ir datu pÄrsÅ«tÄ«Å”ana starp klientu un serveri, izmantojot HTTPS protokolu, kas atbalsta Å”ifrÄÅ”anu un aizsargÄ informÄciju no pÄrtverÅ”anas.
Dažas vietnes izmanto jaukts saturs: daži dati tiek pÄrsÅ«tÄ«ti, izmantojot nedroÅ”o HTTP protokolu. TÄ tas visbiežÄk tiek nodots pasÄ«vais saturs ā informÄcija, kas ietekmÄ tikai vietnes attÄlojumu: attÄli, css stili. Bet dažreiz tas tiek pÄrraidÄ«ts Å”Ädi aktÄ«vs saturs: skripti, kas kontrolÄ vietnes darbÄ«bu. Å ajÄ gadÄ«jumÄ, izmantojot Ä«paÅ”u programmatÅ«ru, jÅ«s varat analizÄt informÄciju ar aktÄ«vu saturu, kas nÄk no servera, modificÄt savas atbildes lidojuma laikÄ un likt iekÄrtai darboties tÄ, kÄ nebija iecerÄjuÅ”i tÄs veidotÄji.
JaunÄkÄs pÄrlÅ«kprogrammu versijas brÄ«dina lietotÄjus, ka vietnes ar jauktu saturu ir nedroÅ”as un bloÄ·Ä saturu. VietÅu izstrÄdÄtÄji arÄ« saÅem pÄrlÅ«kprogrammas brÄ«dinÄjumus konsolÄ. PiemÄram, tas izskatÄs Å”Ädi Firefox:
KÄpÄc tas ir bÄ«stami?: uzbrucÄji izmanto nedroÅ”u protokolu, lai pÄrtvertu lietotÄja informÄciju, aizstÄtu skriptus un nosÅ«tÄ«tu vietnei pieprasÄ«jumus viÅa vÄrdÄ. Pat ja vietnes apmeklÄtÄjs nav ievadÄ«jis datus, tas viÅu nepasargÄ no pikŔķerÄÅ”ana ā konfidenciÄlas informÄcijas iegÅ«Å”ana, izmantojot krÄpnieciskas metodes. PiemÄram, izmantojot skriptu, varat novirzÄ«t lietotÄju uz nedroÅ”u vietni, kas tiek maskÄta kÄ lietotÄjam pazÄ«stama vietne. Dažos gadÄ«jumos ļaunprÄtÄ«gÄ vietne izskatÄs pat labÄk nekÄ oriÄ£inÄls, un lietotÄjs var pats aizpildÄ«t veidlapu un iesniegt konfidenciÄlus datus.
Kas jÄatceras tÄ«mekļa izstrÄdÄtÄjam: Pat ja vietnes administrators ir instalÄjis un konfigurÄjis SSL/TLS sertifikÄtu, cilvÄka kļūdas dÄļ var rasties ievainojamÄ«ba. PiemÄram, ja vienÄ no lapÄm ievietojÄt nevis relatÄ«vu saiti, bet gan absolÅ«tu saiti no http, un turklÄt neesat iestatÄ«jis novirzÄ«Å”anu no http uz https.
Jauktu saturu vietnÄ varat noteikt, izmantojot pÄrlÅ«kprogrammu: meklÄjiet lapas avota kodu, lasiet paziÅojumus izstrÄdÄtÄja konsolÄ. TomÄr izstrÄdÄtÄjam bÅ«s ilgi un nogurdinoÅ”i jÄmÄcÄs ar kodu. Varat paÄtrinÄt procesu, izmantojot automatizÄtus analÄ«zes rÄ«kus, piemÄram: SSL pÄrbaude, bezmaksas Lighthouse programmatÅ«ra vai maksas programmatÅ«ra Screaming Frog SEO Spider.
ArÄ« ievainojamÄ«ba var rasties problÄmu dÄļ ar mantoto kodu ā kodu, kas tika mantots. PiemÄram, ja dažas lapas tiek Ä£enerÄtas, izmantojot vecu veidni, kurÄ nav Åemta vÄrÄ vietÅu pÄreja uz https.
SÄ«kfaili bez karodziÅiem "HTTOnly" un "secure".
AtribÅ«ts "HTTOnly" aizsargÄ sÄ«kfailus, lai tos neapstrÄdÄtu skripti, kurus uzbrucÄji izmanto, lai nozagtu lietotÄja datus. Karogs "DroÅ”s" neļauj sÄ«kfailus nosÅ«tÄ«t skaidrÄ tekstÄ. SaziÅa bÅ«s atļauta tikai tad, ja sÄ«kfaila nosÅ«tÄ«Å”anai tiek izmantots droÅ”ais HTTPS protokols.
Abi atribÅ«ti ir norÄdÄ«ti sÄ«kfailu rekvizÄ«tos:
Set-Cookie: Secure; HttpOnly
KÄpÄc tas ir bÄ«stami?: ja vietnes izstrÄdÄtÄjs nav norÄdÄ«jis Å”os atribÅ«tus, uzbrucÄjs var pÄrtvert lietotÄja informÄciju no sÄ«kfaila un to izmantot. Ja sÄ«kdatnes tiek izmantotas autentifikÄcijai un autorizÄcijai, viÅÅ” varÄs nolaupÄ«t lietotÄja sesiju un veikt darbÄ«bas vietnÄ viÅa vÄrdÄ.
Kas jÄatceras tÄ«mekļa izstrÄdÄtÄjam: Parasti populÄrajos ietvaros Å”ie atribÅ«ti tiek iestatÄ«ti automÄtiski. Bet tomÄr pÄrbaudiet tÄ«mekļa servera konfigurÄciju un iestatiet karogu: Set-Cookie HttpOnly; DroÅ”i.
Å ajÄ gadÄ«jumÄ atribÅ«ts āHTTOnlyā padarÄ«s sÄ«kfailus neredzamus jÅ«su JavaScript.
Uz ceļu balstītas ievainojamības.
Skeneris ziÅo par Å”Ädu ievainojamÄ«bu, ja atrod publiski pieejamu failu vai vietnes direktoriju ar potenciÄli konfidenciÄlu informÄciju. PiemÄram, tas nosaka atseviŔķus sistÄmas konfigurÄcijas failus vai piekļuvi visai failu sistÄmai. Å Äda situÄcija ir iespÄjama, ja vietnÄ ir nepareizi iestatÄ«tas piekļuves tiesÄ«bas.
KÄpÄc tas ir bÄ«stami?: Ja failu sistÄma āizceļasā, uzbrucÄjs var iekrist operÄtÄjsistÄmas saskarnÄ un mÄÄ£inÄt atrast mapes ar parolÄm, ja tÄs ir saglabÄtas skaidrÄ tekstÄ (nedariet to!). Vai arÄ« varat nozagt paroļu jaucÄjus un brutÄli piespiest paroli, kÄ arÄ« mÄÄ£inÄt paaugstinÄt sistÄmas privilÄÄ£ijas un iedziļinÄties infrastruktÅ«rÄ.
Kas jÄatceras tÄ«mekļa izstrÄdÄtÄjam: Neaizmirstiet par piekļuves tiesÄ«bÄm un konfigurÄjiet platformu, tÄ«mekļa serveri, tÄ«mekļa lietojumprogrammu tÄ, lai nebÅ«tu iespÄjams āaizbÄgtā no tÄ«mekļa direktorijas.
Veidlapas sensitÄ«vu datu ievadÄ«Å”anai ar iespÄjotu automÄtisko aizpildÄ«Å”anu.
Ja lietotÄjs vietnÄs bieži aizpilda veidlapas, viÅa pÄrlÅ«kprogramma saglabÄ Å”o informÄciju, izmantojot automÄtiskÄs aizpildes funkciju.
VietÅu veidlapÄs var bÅ«t ietverti lauki ar sensitÄ«vu informÄciju, piemÄram, paroles vai kredÄ«tkarÅ”u numuri. Å Ädiem laukiem ir vÄrts atspÄjot veidlapas automÄtiskÄs aizpildÄ«Å”anas funkciju paÅ”Ä vietnÄ.
KÄpÄc tas ir bÄ«stami?: ja lietotÄja pÄrlÅ«kprogramma saglabÄ sensitÄ«vu informÄciju, uzbrucÄjs to var pÄrtvert vÄlÄk, piemÄram, pikŔķerÄjot. BÅ«tÄ«bÄ tÄ«mekļa izstrÄdÄtÄjs, kurÅ” ir aizmirsis par Å”o niansi, iestata savus lietotÄjus.
Kas jÄatceras tÄ«mekļa izstrÄdÄtÄjam: Å ajÄ gadÄ«jumÄ mums ir klasisks konflikts: ÄrtÄ«bas pret droŔību. Ja tÄ«mekļa izstrÄdÄtÄjs domÄ par lietotÄja pieredzi, viÅÅ” var apzinÄti izvÄlÄties automÄtisko pabeigÅ”anu. PiemÄram, ja ir svarÄ«gi ievÄrot TÄ«mekļa satura pieejamÄ«bas vadlÄ«nijas ā ieteikumi satura pieejamÄ«bai lietotÄjiem ar invaliditÄti.
Bet pÄrlÅ«kÄ Chrome tas nedarbosies. Tas tiek apiets, izmantojot JavaScript, var atrast receptes variantu Å”eit.
Vietnes kodÄ nav iestatÄ«ta galvene X-Frame-Options.
Å Ä« galvene ietekmÄ rÄmja, iframe, iegulÅ”anas vai objektu tagus. Ar tÄs palÄ«dzÄ«bu jÅ«s varat pilnÄ«bÄ aizliegt vietnes iegulÅ”anu rÄmÄ«. Lai to izdarÄ«tu, jÄnorÄda vÄrtÄ«ba X-Frame-Options: deny. Vai arÄ« varat norÄdÄ«t X-Frame-Options: sameorigin, tad iegulÅ”ana iframe bÅ«s pieejama tikai jÅ«su domÄnÄ.
KÄpÄc tas ir bÄ«stami?: Ja Å”Ädas galvenes nav, to var izmantot ļaunprÄtÄ«gÄs vietnÄs klikŔķu uzlaupÄ«Å”ana. Å im uzbrukumam uzbrucÄjs izveido caurspÄ«dÄ«gu rÄmi pogu augÅ”pusÄ un apmÄna lietotÄju. PiemÄram: krÄpnieki ierÄmÄ sociÄlÄ tÄ«kla lapas vietnÄ. LietotÄjs domÄ, ka viÅÅ” noklikŔķina uz pogas Å”ajÄ vietnÄ. TÄ vietÄ klikŔķis tiek pÄrtverts un lietotÄja pieprasÄ«jums tiek nosÅ«tÄ«ts uz sociÄlo tÄ«klu, kurÄ notiek aktÄ«va sesija. Å Ädi uzbrucÄji sÅ«ta surogÄtpastu lietotÄja vÄrdÄ vai iegÅ«st abonentus un atzÄ«mes PatÄ«k.
Ja neatspÄjosit Å”o lÄ«dzekli, uzbrucÄjs var ievietot jÅ«su lietojumprogrammas pogu ļaunprÄtÄ«gÄ vietnÄ. ViÅu var interesÄt jÅ«su novirzÄ«Å”anas programma vai lietotÄji.
Kas jÄatceras tÄ«mekļa izstrÄdÄtÄjam: ievainojamÄ«ba var rasties, ja tÄ«mekļa serverÄ« vai slodzes lÄ«dzsvarotÄjÄ ir iestatÄ«ts X-Frame-Options ar konfliktÄjoÅ”u vÄrtÄ«bu. Å ajÄ gadÄ«jumÄ serveris un balansÄtÄjs vienkÄrÅ”i pÄrrakstÄ«s galveni, jo tiem ir augstÄka prioritÄte salÄ«dzinÄjumÄ ar aizmugures kodu.
X-Frame-Options galvenes liegÅ”anas un vienÄdas izcelsmes vÄrtÄ«bas traucÄs Yandex tÄ«mekļa skatÄ«tÄja darbÄ«bu. Lai tÄ«mekļa skatÄ«tÄjam atļautu izmantot iframe, iestatÄ«jumos ir jÄieraksta atseviŔķs noteikums. PiemÄram, nginx varat to konfigurÄt Å”Ädi:
Å Ä« ir vietnes stila ievainojamÄ«ba. Tas notiek, ja, lai piekļūtu stila failiem, tiek izmantotas relatÄ«vas saites, piemÄram, href="/lv/somefolder/styles.css/". UzbrucÄjs izmantos Å”o iespÄju, ja atradÄ«s veidu, kÄ novirzÄ«t lietotÄju uz ļaunprÄtÄ«gu lapu. Lapa savÄ URL ievietos relatÄ«vu saiti un simulÄs stilu izsaukumu. JÅ«s saÅemsit pieprasÄ«jumu, piemÄram, badsite.ru/ā¦/somefolder/styles.css/, kas stila aizsegÄ var veikt ļaunprÄtÄ«gas darbÄ«bas.
KÄpÄc tas ir bÄ«stami?: krÄpnieks var izmantot Å”o ievainojamÄ«bu, ja atrod citu droŔības robu. RezultÄtÄ ir iespÄjams nozagt lietotÄja datus no sÄ«kdatnÄm vai marÄ·ieriem.
Kas jÄatceras tÄ«mekļa izstrÄdÄtÄjam: iestatiet X-Content-Type-Options galveni uz: nosniff. Å ÄdÄ gadÄ«jumÄ pÄrlÅ«kprogramma pÄrbaudÄ«s stilu satura veidu. Ja veids nav teksts/css, pÄrlÅ«kprogramma bloÄ·Äs pieprasÄ«jumu.
KritiskÄs ievainojamÄ«bas
Lapa ar paroles lauku tiek pÄrsÅ«tÄ«ta no servera pa nedroÅ”u kanÄlu (HTML veidlapa ar paroles lauku(-iem) tiek pasniegta, izmantojot HTTP).
Atbilde no servera, izmantojot neÅ”ifrÄtu kanÄlu, ir neaizsargÄta pret uzbrukumiem ācilvÄks vidÅ«ā. Lapai pÄrejot no servera uz klientu, uzbrucÄjs var pÄrtvert trafiku un iestÄties starp klientu un serveri.
KÄpÄc tas ir bÄ«stami?: KrÄpnieks varÄs nomainÄ«t lapu un nosÅ«tÄ«t lietotÄjam konfidenciÄlu datu veidlapu, kas tiks nosÅ«tÄ«ta uz uzbrucÄja serveri.
Kas jÄatceras tÄ«mekļa izstrÄdÄtÄjam: dažas vietnes paroles vietÄ lietotÄjiem nosÅ«ta vienreizÄju kodu pa e-pastu/tÄlruni. Å ajÄ gadÄ«jumÄ ievainojamÄ«ba nav tik kritiska, taÄu mehÄnisms sarežģīs lietotÄju dzÄ«vi.
Veidlapas nosÅ«tÄ«Å”ana ar pieteikumvÄrdu un paroli, izmantojot nedroÅ”u kanÄlu (PieteikÅ”anÄs veidlapa netiek iesniegta, izmantojot HTTPS).
Å ajÄ gadÄ«jumÄ no lietotÄja uz serveri pa neÅ”ifrÄtu kanÄlu tiek nosÅ«tÄ«ta veidlapa ar pieteikumvÄrdu un paroli.
KÄpÄc tas ir bÄ«stami?: AtŔķirÄ«bÄ no iepriekÅ”ÄjÄ gadÄ«juma Ŕī jau ir kritiska ievainojamÄ«ba. SensitÄ«vus datus ir vieglÄk pÄrtvert, jo jums pat nav jÄraksta kods, lai to izdarÄ«tu.
JavaScript bibliotÄku izmantoÅ”ana ar zinÄmÄm ievainojamÄ«bÄm.
SkenÄÅ”anas laikÄ visvairÄk izmantotÄ bibliotÄka bija jQuery ar plaÅ”u versiju skaitu. Katrai versijai ir vismaz viena vai pat vairÄkas zinÄmas ievainojamÄ«bas. Ietekme var bÅ«t ļoti atŔķirÄ«ga atkarÄ«bÄ no ievainojamÄ«bas veida.
KÄpÄc tas ir bÄ«stami?: Ir zinÄmu ievainojamÄ«bu izmantoÅ”ana, piemÄram:
Kas jÄatceras tÄ«mekļa izstrÄdÄtÄjam: regulÄri atgriezieties pie cikla: meklÄjiet zinÄmÄs ievainojamÄ«bas - labojiet - pÄrbaudiet. Ja apzinÄti izmantojat mantotÄs bibliotÄkas, piemÄram, lai atbalstÄ«tu vecÄkas pÄrlÅ«kprogrammas vai ietaupÄ«tu naudu, meklÄjiet iespÄju novÄrst zinÄmu ievainojamÄ«bu.
StarpvietÅu skriptÄÅ”ana (XSS).
Cross-Site Scripting (XSS) jeb starpvietÅu skriptÄÅ”ana ir uzbrukums tÄ«mekļa lietojumprogrammai, kÄ rezultÄtÄ datu bÄzÄ tiek ievadÄ«ta ļaunprÄtÄ«ga programmatÅ«ra. Ja Qualys konstatÄ Å”Ädu ievainojamÄ«bu, tas nozÄ«mÄ, ka potenciÄlais uzbrucÄjs var vai jau ir ievietojis savu js skriptu vietnes kodÄ, lai veiktu ļaunprÄtÄ«gas darbÄ«bas.
SaglabÄts XSS bÄ«stamÄks, jo skripts tiek iegults serverÄ« un tiek izpildÄ«ts katru reizi, kad pÄrlÅ«kprogrammÄ tiek atvÄrta uzbrukuma lapa.
Atspoguļots XSS vieglÄk izpildÄ«t, jo HTTP pieprasÄ«jumÄ var tikt ievadÄ«ts ļaunprÄtÄ«gs skripts. Lietojumprogramma saÅems HTTP pieprasÄ«jumu, nepÄrbaudÄ«s datus, iesaiÅos tos un nekavÄjoties nosÅ«tÄ«s. Ja uzbrucÄjs pÄrtver satiksmi un ievieto tÄdu skriptu kÄ
<script>/*+ŃŃŠ¾+ŃŠ¾+ŠæŠ»Š¾Ń Š¾Šµ+*/</script>
tad klienta vÄrdÄ tiks nosÅ«tÄ«ts ļaunprÄtÄ«gs pieprasÄ«jums.
Spilgts XSS piemÄrs: js sniffers, kas simulÄ lapas, lai ievadÄ«tu CVC, kartes derÄ«guma termiÅu un tÄ tÄlÄk.
Kas jÄatceras tÄ«mekļa izstrÄdÄtÄjam: galvenÄ Content-Security-Policy izmantojiet atribÅ«tu script-src, lai piespiestu klienta pÄrlÅ«kprogrammu lejupielÄdÄt un izpildÄ«t kodu tikai no uzticama avota. PiemÄram, script-src 'self' baltajÄ sarakstÄ iekļauj visus skriptus tikai no mÅ«su vietnes.
LabÄkÄ prakse ir iekļautais kods: atļaut tikai iekļauto JavaScript, izmantojot nedroÅ”o iekļauto vÄrtÄ«bu. Å Ä« vÄrtÄ«ba ļauj izmantot iekļauto js/css, bet neaizliedz iekļaut js failus. KombinÄcijÄ ar script-src 'self' mÄs atspÄjojam ÄrÄjo skriptu izpildi.
Noteikti reÄ£istrÄjiet visu, izmantojot report-uri, un apskatiet mÄÄ£inÄjumus to ieviest vietnÄ.
SQL injekcijas.
IevainojamÄ«ba norÄda uz iespÄju ievadÄ«t SQL kodu vietnÄ, kas tieÅ”i piekļūst vietnes datu bÄzei. SQL injekcija ir iespÄjama, ja lietotÄja dati netiek pÄrbaudÄ«ti: to pareizÄ«ba netiek pÄrbaudÄ«ta un tiek nekavÄjoties izmantota vaicÄjumÄ. PiemÄram, tas notiek, ja veidlapa vietnÄ nepÄrbauda, āāvai ievade atbilst datu tipam.
KÄpÄc tas ir bÄ«stami?: ja uzbrucÄjs Å”ajÄ veidlapÄ ievada SQL vaicÄjumu, viÅÅ” var avarÄt datubÄzi vai atklÄt konfidenciÄlu informÄciju.
Kas jÄatceras tÄ«mekļa izstrÄdÄtÄjam: neuzticieties tam, kas nÄk no pÄrlÅ«kprogrammas. Jums ir jÄaizsargÄ sevi gan klienta, gan servera pusÄ.
Klienta pusÄ ierakstiet lauka validÄciju, izmantojot JavaScript.
IebÅ«vÄtÄs funkcijas populÄrajos ietvaros palÄ«dz arÄ« izvairÄ«ties no aizdomÄ«gÄm rakstzÄ«mÄm serverÄ«. Ieteicams arÄ« serverÄ« izmantot parametrizÄtus datu bÄzes vaicÄjumus.
Nosakiet, kur tieÅ”i tÄ«mekļa lietojumprogrammÄ notiek mijiedarbÄ«ba ar datu bÄzi.
MijiedarbÄ«ba notiek, kad mÄs saÅemam jebkÄdu informÄciju: pieprasÄ«jumu ar id (id maiÅa), jauna lietotÄja izveidi, jaunu komentÄru vai jaunus ierakstus datu bÄzÄ. Å eit var notikt SQL injekcijas. Pat ja mÄs izdzÄÅ”am ierakstu no datu bÄzes, ir iespÄjama SQL injekcija.
VispÄrÄji ieteikumi
Neizgudrojiet riteni no jauna ā izmantojiet pÄrbaudÄ«tus ietvarus. Parasti populÄrie ietvari ir droÅ”Äki. .NET ā ASP.NET MVC un ASP.NET Core, Python ā Django vai Flask, Ruby ā Ruby on Rails, PHP ā Symfony, Laravel, Yii, JavaScript ā Node.JS-Express.js, Java - Pavasara MVC.
Sekojiet pÄrdevÄja atjauninÄjumiem un regulÄri atjauniniet. ViÅi atradÄ«s ievainojamÄ«bu, pÄc tam uzrakstÄ«s ekspluatÄciju, padarÄ«s to publiski pieejamu, un viss atkÄrtosies. AbonÄjiet programmatÅ«ras piegÄdÄtÄja stabilo versiju atjauninÄjumus.
PÄrbaudiet piekļuves tiesÄ«bas. Servera pusÄ vienmÄr izturieties pret savu kodu tÄ, it kÄ to no pirmÄ lÄ«dz pÄdÄjam burtam bÅ«tu uzrakstÄ«jis jÅ«su nÄ«stÄkais ienaidnieks, kurÅ” vÄlas sabojÄt jÅ«su vietni un pÄrkÄpt jÅ«su datu integritÄti. TurklÄt dažreiz tÄ ir taisnÄ«ba.
Izmantojiet klonus, testÄÅ”anas vietas un pÄc tam izmantojiet tos ražoÅ”anai. Tas palÄ«dzÄs, pirmkÄrt, izvairÄ«ties no kļūdÄm un kļūdÄm produktÄ«vÄ vidÄ: produktÄ«va vide nes naudu, vienkÄrÅ”a produktÄ«va vide ir kritiska. Pievienojot, labojot vai aizverot jebkuru problÄmu, ir vÄrts strÄdÄt testa vidÄ, pÄc tam pÄrbaudÄ«t funkcionalitÄti un atrastÄs ievainojamÄ«bas un pÄc tam plÄnot darbu ar ražoÅ”anas vidi.
AizsargÄjiet savu tÄ«mekļa lietojumprogrammu ar TÄ«mekļa lietojumprogrammu ugunsmÅ«ris un integrÄt tajÄ ziÅojumus no ievainojamÄ«bas skenera. PiemÄram, DataLine kÄ pakalpojumu komplektu izmanto Qualys un FortiWeb.