開發者應該考慮哪些典型的潛在安全風險？

Question

這是一個廣泛的問題，尋找一個體面的廣泛答案，但我真的很好奇專業開發人員必須考慮哪些關鍵問題的安全性。

你如何讓你的網站更加黑客？你如何確保你公司數據庫的安全？

我與安全問題真正的菜鳥，但我很希望從大約典型設計模式的人聽到了安全性（如果有這樣的事情），易於使用的加密方法等

致謝！

Answer 1

Web應用程序

決不相信用戶的輸入！假設人們正試圖將惡意內容傳遞給您的應用程序。

這種事情導致@Matteo Mosca在談論的問題。

數據庫

在數據庫方面確保用戶加密的任何信息，你不希望人們很容易地看到，如果他們入侵你的DB（密碼等）

Here是一個很好的文章在你的數據庫中存儲密碼。

鏈接，瞭解更多信息：

• XSS
• CSRF
• SQL Injection

Answer 2

我可以指出一些可以嘗試到網站的典型攻擊。你可以在網上找到關於他們每一個的大量資源。

• XSS（跨站腳本）
• CSRF/XSRF（跨站請求僞造）
• SQL注入

這些都是最常見的，我建議你通過研究這些啓動。

Answer 3

這絕不是你必須做的一切詳盡的清單，但它應該讓你思考一些問題的答案：

你如何讓你的網站黑客的證據？

• 無論擔心安全問題，一定要使用強大的SSL加密。
• 切勿使用動態SQL。始終使用參數化查詢或存儲過程。這將防止SQL注入攻擊。
• 切勿以純文本形式存儲用戶密碼。始終使用鹽味散列。
• 要求用戶（尤其是管理員用戶）使用強密碼。
• 請務必檢查危險內容的查詢參數。這將有助於防範跨站點腳本攻擊。

你如何確保你的公司的數據庫的安全性？

• 不要直接暴露數據庫到互聯網。
• 需要強密碼。
• 確保連接到數據庫的應用程序遵循最佳實踐，以便它們不會通過SQL注入攻擊公開數據。

Answer 4

布魯斯的祕密與謊言是一個非常好的書來讀爲題的一般哲學調查。

Answer 5

雖然出現了很多很好的建議貼，我建議應該採取更系統和方法論方法。首先在您想要「黑客證明」的網站上執行威脅建模，而不是隨意保護XYZ攻擊。例如，考慮一個不允許任何用戶輸入的Intranet網站。只有只讀但機密信息可用。你應該關心SQL注入，XSS等？我不這麼認爲（因爲沒有用戶輸入）。 DNS重新綁定更關心的是在這裏擔心的攻擊。網站/檢查HOST標題？否則，該網站可能會受到攻擊，並且機密數據可能會泄漏給未經授權的用戶。

通過執行威脅建模，得到一個對應用程序頂部威脅的清晰圖像，並根據風險評估，應建立緩解策略。