iDEAL Advanced - Pronamic

Recommendations

Info

iDEAL Advanced – Integratiehandleiding PHP 2 Veiligheid Dit hoofdstuk gaat nader in op de veiligheidsaspecten van uw webshop. In de overige hoofdstukken van deze integratiehandleiding zijn verscheidene praktische veiligheidsaanwijzingen opgenomen, herkenbaar aan het symbool van een hangslotje (). Dit document pretendeert overigens geenszins volledig te zijn ten aanzien van de veiligheid van uw webwinkel. Dat is, gezien de omvang en complexiteit van het onderwerp, onmogelijk. Het doel van dit hoofdstuk en van de elders opgenomen aanwijzingen is met name om u bewust te maken van het onderwerp. In boekvorm en op het internet is in ruime mate documentatie voorhanden over de bedreigingen waaraan web applicaties bloot (kunnen) staan, en de te nemen preventieve en detectieve maatregelen om de eigen webshop daarvan te vrijwaren. Wij raden u met klem aan kennis te nemen van deze documentatie. Het succes van uw webshop is daarvan in hoge mate afhankelijk. De door ING geleverde software voor iDEAL Advanced PHP is gebouwd op basis van alle gangbare security best practices. Onjuiste integratie van deze software in uw webshop, en/of een onveilige opbouw van overige onderdelen van uw webshop, kunnen desondanks leiden tot een onveilige webwinkel. Veiligheid als procesonderdeel De eerste stap om dit te voorkomen, is het besef dat veiligheid alle stadia van het ontwikkelproces van uw webshop raakt: • Analyse & ontwerp: Reeds tijdens het ontwerpen van uw webshop dient u inzicht te verwerven in de voor uw webshop relevante bedreigingen, en daarop maatregelen te formuleren. • Development: Sommige code is per definitie onveilig. Veel van de beschikbare security documentatie bevat expliciete voorbeelden van onveilige code, alsmede de aangeraden vervanging ervan. Houd hier bij het bouwen van uw webshop rekening mee. • Testen: Onderkende bedreigingen, en de bijbehorende tegenmaatregelen, dienen uiteraard ook getest te worden. Hiervoor bestaande vele verschillende technieken en tools, variërend per ontwikkelplatform. • Deployment: Zorg er bij het deployen van uw webshop voor dat cruciale bestanden niet voor onbevoegden toegankelijk zijn. Denk hierbij bijvoorbeeld aan de configuratie van uw webshop, uw prive-sleutel, en uw database. Besteed hier extra aandacht aan als uw webshop niet door uzelf wordt gehost. OWASP De tweede stap op weg naar een veilige(re) webshop, is kennis te nemen van de eerder genoemde documentatie over de veiligheidsaspecten van web applicaties. Een goed startpunt hierbij is de website van het Open Web Application Security Project (OWASP), te vinden op www.owasp.org. De OWASP-site biedt uitgebreid inzicht in de kwetsbaarheden (vulnerabilities) van software, en de te nemen maatregelen (countermeasures). Copyright © ING. Versie 2.3, april 2010 Pag 6 van 26
iDEAL Advanced – Integratiehandleiding PHP Volgens OWASP zijn er meer dan 300 security issues die de veiligheid van web applicaties (kunnen) raken. Periodiek stelt OWASP hieruit een top 10 samen met de meest voorkomende kwetsbaarheden van web-applicaties. De nieuwste versie hiervan is de top 10 van 2007 1 . Ook stelt OWASP regelmatig nieuwe versies beschikbaar van een aantal belangwekkende documenten. De belangrijkste hiervan zijn: • De OWASP Guide: Beschrijft gedetailleerd hoe web applicaties en web services veiliger gemaakt kunnen worden. Dit wordt geïllustreerd met voorbeelden in J2EE, ASP.NET en PHP. 2 • De OWASP Testing Guide: Geeft een gedetailleerde beschrijving van een op security gericht testprogramma. 3 • De OWASP AppSec FAQ: Een lijst met veelgestelde vragen over kwetsbaarheden en maatregelen. 4 De OWASP-site kent verder specifieke pagina’s voor verscheidene ontwikkelplatforms, waaronder PHP 5 . Deze pagina’s gaan nader in op platform-specifieke security issues, inclusief onveilige code en beveiligingsmaatregelen. Nota bene: Denk in het kader van OWASP onder andere aan het volgende: • Controleer ALLE input, ongeacht de bron (acquirer, consument). • Controleer bij voorkeur op toegestane waarden (white listing) en niet op verboden waarden (black listing). • Bescherm uw database, onder andere door de database connection niet onnodig open te laten staan. • Bescherm uw privé-gegevens (zoals sleutels) door deze niet te bewaren op voor onbevoegden toegankelijke plaatsen • Verstuur nooit onversleutelde usernamen en passwords. 1 Te vinden op http://www.owasp.org/index.php/Top_10_2007. 2 Zie http://www.owasp.org/index.php/Category:OWASP_Guide_Project. 3 Zie http://www.owasp.org/index.php/Category:OWASP_Testing_Project. 4 Zie http://www.owasp.org/index.php/OWASP_AppSec_FAQ. 5 Zie http://www.owasp.org/index.php/Category: PHP. Copyright © ING. Versie 2.3, april 2010 Pag 7 van 26
Page 1 and 2: iDEAL Advanced ING Wholesale Bankin
Page 3 and 4: iDEAL Advanced - Integratiehandleid
Page 5: iDEAL Advanced - Integratiehandleid

iDEAL Advanced - Pronamic

Create successful ePaper yourself

Delete template?

Save as template?