Web應用程序安全性的良好指南？

Question

我在製作Web應用程序方面非常出色，我知道如何將數據傳入客戶端/服務器等等。我需要一些幫助，儘管學習如何使數據交換更加安全。這就是爲什麼我害怕發佈我製作的任何網絡應用的原因。我想知道什麼是一些很好的指南，可以幫助您瞭解並學習如何通過Web應用程序保護數據傳輸？例如更好的身份驗證和更好的登錄。

您可以發佈任何建議，但僅供參考，我主要使用Javascript和PHP編寫我的Web應用程序。另外，我使用JSON或XML傳輸數據。

非常感謝

Answer 1

OWASP有指南，示例項目和測試應用程序的主題web應用程序安全性的一個偉大的選擇。

我個人最喜歡的是backend security project，我曾經向我的經理證明我們的內部系統需要很多關注，並且僅僅因爲後端安全不是用戶感知的好處，並不意味着它可能會忽略。

This project特別給出了數據驗證，錯誤處理，加密等

Answer 2

我認爲這本書是一個很好的起點，如果你想了解更多有關安全，一般在一個PHP應用一些好的建議。 http://phpsecurity.org/

（可選）您可以考慮在您的Web應用程序中添加一個IDS。我可以推薦PHPIDS

Answer 3

Google's Doctype是（非常嚴重命名），其中有一個很好的入門section on Web Security，專注於XSS「開放的百科全書和參考的Web應用程序開發人員庫」。鑑於通用標題「網絡安全」，它可以從涵蓋更多問題中受益，如CSRF，但它在覆蓋XSS攻擊媒介方面相當全面。你知道IE can be tricked執行JavaScript中應該是一個用戶上傳的圖像？

Answer 4

的Javascript：

這可能是你一個非常有趣的視頻： http://www.youtube.com/watch?v=eL5o4PFuxTY

不下去了登錄名和密碼瘋狂。專業懶惰 - 知道你在做什麼！ JSON對數據傳輸非常有用，在我看來，XML有很多開銷。

使用JSON.parse從不使用eval。

PHP

始終使用mysql_real_escape_string或mysqli_escape_string。 在保存用戶輸入之前，在顯示用戶輸入或使用strip_tags之前使用htmlspecialchars。永遠不要相信任何來自用戶/瀏覽器的東西。

Answer 5

在創建網站的許多方面，包括安全性方面，都有很棒的post here。這是來自頂部答案的摘錄，可能有所幫助。

• 這是一個很大的消化，但OWASP development guide涵蓋網站的安全從上到下
  • 知道的關於SQL injection以及如何防止它
  • 決不相信用戶輸入（cookies是用戶輸入的呢！）
  • 加密哈希和鹽密碼，而不是將它們存儲爲純文本。
  • 不要試圖想出自己的奇特身份驗證系統：以微妙且不可測試的方式獲取錯誤是一件容易的事情，並且直到被黑客攻擊之後纔會知道它。
  • 知道了rules for processing credit cards.（See this question as well）
  • 使用SSL/HTTPS進行登錄並在其中輸入敏感數據的頁面（如信用卡信息）
  • 如何抵禦會話劫持
  • 避免cross site scripting (XSS)
  • 避免cross site request forgeries (XSRF)
  • 用最新的補丁程序保持您的系統處於最新狀態
  • 確保您的數據庫連接信息是安全的。
  • 保持自己的最新攻擊技術和漏洞影響您的平臺。
  • 閱讀The Google Browser Security Handbook
  • 讀The Web Application Hackers Handbook