1. Trang chủ
  2. Câu hỏi và trả lời
  3. Các mẹo hàng đầu cho các ứng dụng web an toàn

Các mẹo hàng đầu cho các ứng dụng web an toàn

2008-09-06 2 views

Trả lời

10

Microsoft Technet có en bài viết tuyệt vời:

Ten Tips for Designing, Building, and Deploying More Secure Web Applications

Dưới đây là các chủ đề cho những lời khuyên đã trả lời trong bài viết rằng:

  1. Không bao giờ trực tiếp tin tưởng người dùng nhập
  2. dịch vụ nên có Cả hệ thống cũng không quản trị truy cập
  3. Thực hiện theo SQL Server Thực tiễn tốt nhất
  4. bảo vệ tài sản
  5. Bao gồm Kiểm toán, Logging, và tính năng báo cáo
  6. Phân tích Mã Nguồn
  7. Triển khai Linh kiện Sử dụng phòng tại Độ sâu
  8. Tắt thông báo lỗi sâu cho người dùng cuối
  9. Biết 10 Laws of Security Administration
  10. Có kế hoạch phản hồi sự cố bảo mật

Nguồn

2008-09-06 08:23:56 Espo

+0

Tôi đặc biệt thích mẹo không. 10! Phải thừa nhận rằng, chưa bao giờ nghĩ về nó trước đây. –

4
  1. Thoát nội dung do người dùng cung cấp để tránh các cuộc tấn công XSS.
  2. Sử dụng paremeterised SQL hoặc các thủ tục được lưu trữ để tránh các cuộc tấn công SQL Injections.
  3. Chạy máy chủ web dưới dạng tài khoản không được khai thác để giảm thiểu các cuộc tấn công trên hệ điều hành.
  4. Đặt lại các thư mục máy chủ web thành tài khoản không được rút tiền, để giảm thiểu các cuộc tấn công trên hệ điều hành.
  5. Thiết lập tài khoản không được chiếm đoạt trên máy chủ SQL và sử dụng chúng cho ứng dụng để giảm thiểu các cuộc tấn công trên DB.

Để biết thêm thông tin chiều sâu, có luôn luôn là OWASP Guide to Building Secure Web Applications and Web Services

Nguồn

2008-09-06 08:23:10 Oded

6

Không tin vào đầu vào của người dùng.

Xác thực các loại dữ liệu dự kiến ​​và định dạng là điều cần thiết để avaoiding SQL injection và Cross-Site Scripting (XSS) tấn công.

Nguồn

2008-09-06 08:31:17

0

Đặt cờ an toàn trên cookie cho ứng dụng SSL. Nếu không, luôn có một cuộc tấn công dữ dội là nhiều hơn dễ thực hiện hơn là phá vỡ mật mã. Đây là bản chất của CVE-2002-1152.

Nguồn

2008-09-06 13:49:56 Purfideas

1

Một số yêu thích của tôi:

  1. Filter Input, Escape Output để giúp bảo vệ chống lại XSS hoặc SQL injection tấn công
  2. Sử dụng chuẩn bị báo cáo cho các truy vấn cơ sở dữ liệu (tấn công SQL injection)
  3. Disable tài khoản người dùng không sử dụng trên máy chủ của bạn để ngăn chặn các cuộc tấn công bằng mật khẩu brute force
  4. Xóa thông tin phiên bản Apache khỏi tiêu đề HTTP (ServerSignature = Off, ServerTokens = ProductOnly)
  5. Chạy web của bạn máy chủ trong một nhà tù chroot để hạn chế thiệt hại nếu bị xâm phạm

Nguồn

2008-09-06 15:42:42

+0

+1 đến 'đầu vào bộ lọc' thay vì thoát. Không bao giờ cố gắng xoa bóp đầu vào không hợp lệ của người dùng. – n0rm1e

1

OWASP là bạn của bạn. Top Ten List lỗ hổng bảo mật ứng dụng web của chúng bao gồm mô tả từng vấn đề và cách bảo vệ nó. Trang web là một nguồn tài nguyên tốt để tìm hiểu thêm về bảo mật ứng dụng web và cũng là một công cụ phong phú cũng như các kỹ thuật thử nghiệm.

Nguồn

2008-09-16 02:14:06 Markc

 Các vấn đề liên quan

  • Không có vấn đề liên quan^_^