В предыдущих главах была полная информация о реализации web2py с различными инструментами. Основное внимание при разработке приложений web2py включает безопасность с точки зрения пользователя.
Уникальные особенности web2py заключаются в следующем —
-
Пользователи могут легко изучить реализацию. Не требует установки и зависимостей.
-
Он был стабильным со дня запуска.
-
web2py является легковесным и включает в себя библиотеки для уровня абстракции данных и языка шаблонов.
-
Он работает с помощью интерфейса шлюза веб-сервера, который выполняет функцию связи между веб-серверами и приложениями.
Пользователи могут легко изучить реализацию. Не требует установки и зависимостей.
Он был стабильным со дня запуска.
web2py является легковесным и включает в себя библиотеки для уровня абстракции данных и языка шаблонов.
Он работает с помощью интерфейса шлюза веб-сервера, который выполняет функцию связи между веб-серверами и приложениями.
Проект безопасности открытого веб-приложения (OWASP) — это сообщество, в котором перечислены нарушения безопасности веб-приложения.
Нарушения безопасности
Что касается OWASP, то вопросы, связанные с веб-приложениями, и способы их преодоления web2py обсуждаются ниже.
Перекрестный сценарий
Это также известно как XSS. Это происходит всякий раз, когда приложение берет предоставленные пользователем данные и отправляет их в браузер пользователя без кодирования или проверки содержимого. Злоумышленники выполняют сценарии для внедрения червей и вирусов, используя межсторонние сценарии.
web2py помогает предотвратить XSS, предотвращая отображение всех отображаемых переменных в представлении .
Утечка информации
Иногда приложения пропускают информацию о внутренней работе, конфиденциальности и конфигурации. Злоумышленники используют это для взлома конфиденциальных данных, что может привести к серьезным атакам.
web2py предотвращает это с помощью системы тикетов. Он регистрирует все ошибки, и билет выдается пользователю, чья ошибка регистрируется. Эти ошибки доступны только администратору.
Сломанная аутентификация
Учетные данные учетной записи не часто защищены. Злоумышленники компрометируют пароли, токены аутентификации для кражи личных данных пользователя.
web2py предоставляет механизм для административного интерфейса. Это также заставляет использовать безопасные сеансы, когда клиент не «localhost».
Небезопасная связь
Иногда приложения не могут зашифровать сетевой трафик. Для защиты конфиденциальных сообщений необходимо управлять трафиком.
web2py предоставляет SSL-сертификаты для шифрования сообщений. Это также помогает поддерживать чувствительное общение.
Ограничение в доступе URL
Веб-приложения обычно защищают конфиденциальные функции, предотвращая отображение ссылок и URL-адресов для некоторых пользователей. Злоумышленники могут попытаться взломать некоторые конфиденциальные данные, манипулируя URL-адресом с некоторой информацией.
В wb2py, URL отображается на модули и функции, а не на данный файл. Он также включает механизм, который определяет, какие функции являются общедоступными, а какие поддерживаются как частные. Это помогает в решении проблемы.