¿Dónde puedo encontrar una "lista de verificación de seguridad" del proyecto web?

Question

Estoy buscando una lista completa de pautas de seguridad para programar y desplegar sitios web PHP y aplicaciones en un servidor Apache (Linux). Básicamente, una "lista de verificación de seguridad" para ejecutar antes de finalizar un proyecto. Es decir,

1. Cross Site Scripting
2. Cross Site Request Falsificación
3. Desinfección formulario de datos que entra en la base de datos
4. Desactivar el registro de globales y de error que informan en php.ini
5. Subir archivos por debajo de la raíz Web ... (la lista continúa)

Hice algunas búsquedas en internet y en este foro, pero co no encuentra una lista completa, sucinta y completa de pautas.

Gracias de antemano.

Answer 1

Salida este enlace "Siete hábitos para escribir aplicaciones PHP seguras":

http://www.ibm.com/developerworks/opensource/library/os-php-secure-apps/index.html

Los artículos de IBM son siempre muy útil, gracias.

PS: También este "PHP lista de lectura recomendada"

http://www.ibm.com/developerworks/opensource/library/os-php-read/#security

Answer 2

Diría que debería encontrar mucha información sobre el OWASP website, en materia de vulnerabilidades en aplicaciones web, e información sobre cómo ayudar a que la suya sea más segura.

(pero no hay mucho que decir sobre ese tema que en realidad se podría conseguir "más" información de lo que cabría primero como ...)

Answer 3

Creo que hay dos categorías principales, que deberían ser considerados:

configuración & instalación (por ejemplo): http://aymanh.com/checklist-for-securing-php-configuration Programación (ejemplo): http://www.jemjabella.co.uk/blog/php-security-checklist

Otras ideas?

Answer 4

Eche un vistazo a OWASP’s Development Guide.