這是一個廣泛的問題,尋找一個體面的廣泛答案,但我真的很好奇專業開發人員必須考慮哪些關鍵問題的安全性。開發者應該考慮哪些典型的潛在安全風險?
你如何讓你的網站更加黑客?你如何確保你公司數據庫的安全?
我與安全問題真正的菜鳥,但我很希望從大約典型設計模式的人聽到了安全性(如果有這樣的事情),易於使用的加密方法等
致謝!
這是一個廣泛的問題,尋找一個體面的廣泛答案,但我真的很好奇專業開發人員必須考慮哪些關鍵問題的安全性。開發者應該考慮哪些典型的潛在安全風險?
你如何讓你的網站更加黑客?你如何確保你公司數據庫的安全?
我與安全問題真正的菜鳥,但我很希望從大約典型設計模式的人聽到了安全性(如果有這樣的事情),易於使用的加密方法等
致謝!
Web應用程序
決不相信用戶的輸入!假設人們正試圖將惡意內容傳遞給您的應用程序。
這種事情導致@Matteo Mosca在談論的問題。
數據庫
在數據庫方面確保用戶加密的任何信息,你不希望人們很容易地看到,如果他們入侵你的DB(密碼等)
Here是一個很好的文章在你的數據庫中存儲密碼。
鏈接,瞭解更多信息:
我可以指出一些可以嘗試到網站的典型攻擊。你可以在網上找到關於他們每一個的大量資源。
這些都是最常見的,我建議你通過研究這些啓動。
一些新的信息,欣賞它,我會讀:) – Alex 2010-06-24 12:20:59
這絕不是你必須做的一切詳盡的清單,但它應該讓你思考一些問題的答案:
你如何讓你的網站黑客的證據?
你如何確保你的公司的數據庫的安全性?
布魯斯的祕密與謊言是一個非常好的書來讀爲題的一般哲學調查。
雖然出現了很多很好的建議貼,我建議應該採取更系統和方法論方法。首先在您想要「黑客證明」的網站上執行威脅建模,而不是隨意保護XYZ攻擊。例如,考慮一個不允許任何用戶輸入的Intranet網站。只有只讀但機密信息可用。你應該關心SQL注入,XSS等?我不這麼認爲(因爲沒有用戶輸入)。 DNS重新綁定更關心的是在這裏擔心的攻擊。網站/檢查HOST標題?否則,該網站可能會受到攻擊,並且機密數據可能會泄漏給未經授權的用戶。
通過執行威脅建模,得到一個對應用程序頂部威脅的清晰圖像,並根據風險評估,應建立緩解策略。
我想這應該是一個什麼樣的「社區維基」後可能看起來像:-)這是一個常見問題爲例,這是一個有趣的話題,但它不是一個真正的具體問題到你會得到一個簡潔的答案。因此,因爲它實際上更像是一個討論主題,所以這些問題應該標記爲「社區維基」(使用那個小複選框),以使聲譽點保持有意義。 – Pointy 2010-06-24 12:18:11
的網頁:http://stackoverflow.com/questions/72394/what-should-a-developer-know-before-building-a-public-web-site – tanascius 2010-06-24 12:20:10
啊好吧,是的這是有道理會做 – Alex 2010-06-24 12:21:41