compiling.ru

Web Server Security and Database Server Security. 3.

3. Разделение сред разработки, тестирования и продакшн.

Наиболее часто разработка и тестирование новых веб-приложений происходит непосредственно на рабочем сервере, так как это проще и быстрее для разработчика. Распространенным явлением в сети Интернет так же является нахождение новых версий определенных веб-сайтов, или какого-либо контента, которые не должны быть доступны для пользователей в таких рубриках как «тест», «новинки» или другие аналогичные рубрики. Поскольку такие веб-приложений находятся на ранних стадиях разработки, они, как правило, имеют ряд уязвимостей, отсутствие надлежащей регистрации пользователя и недостаточную обработку исключительных случаев. С помощью специальных инструментов находящихся в свободном доступе в сети, такие приложения могут быть легко обнаружены и использованы злоумышленниками.

Чтобы облегчить более разработку и тестирование веб-приложений, разработчики, как правило, разрабатывают специфицеские внутренние приложения, которые обеспечивают специфический доступ к веб-приложениям, базам данных и другим ресурсам веб-сервера. При этом остальные, неавторизованные пользователи, не получают таких прав. Такие приложения обычно не обладают какими-либо ограничениями, поскольку они предназначены только для тестирования системы, и предоставляют доступ только разработчикам. К сожалению, если разработка и тестирование проводится на рабочем сервере, такие приложения могут быть легко обнаружены злоумышленниками, что поможет им получить доступ к продакшн-серверу.

В идеале, разработка и тестирование веб-приложений всегда должны проводиться на серверах, изолированых от интернета, и никогда не должны использовать подключение к реальным данными и базами данных.