Hướng dẫn tốt về bảo mật ứng dụng web?

Question

Tôi khá giỏi trong việc tạo các ứng dụng web và tôi biết cách chuyển dữ liệu đến và từ máy khách/máy chủ, v.v. Tôi cần một số trợ giúp để học cách trao đổi dữ liệu an toàn hơn. Đó là lý do tại sao tôi cảm thấy lo sợ khi xuất bản bất kỳ ứng dụng web nào mà tôi tạo ra. Tôi muốn biết một số hướng dẫn tốt để giúp bạn hiểu và tìm hiểu cách bảo mật truyền dữ liệu bằng ứng dụng web của bạn là gì? Những thứ như xác thực tốt hơn ví dụ và làm cho đăng nhập tốt hơn.

Bạn có thể đăng bất kỳ đề xuất nào, nhưng chỉ cho thông tin của bạn, tôi chủ yếu viết mã các ứng dụng web của tôi bằng Javascript và PHP. Ngoài ra, tôi chuyển dữ liệu của mình bằng JSON hoặc XML.

Thanks a lot

Answer 1

OWASP có một lựa chọn tuyệt vời của hướng dẫn, các dự án ví dụ và ứng dụng thử nghiệm về an ninh đối tượng ứng dụng web.

Yêu thích cá nhân của tôi là backend security project, mà tôi đã sử dụng để chứng minh cho người quản lý của mình rằng hệ thống nội bộ của chúng tôi cần rất nhiều sự chú ý và chỉ vì bảo mật phụ trợ không phải là lợi ích của người dùng, không có nghĩa là làm ngơ.

This project đặc biệt cung cấp cho một số lời khuyên tốt để xác nhận dữ liệu, xử lý lỗi, mật mã, vv

Answer 2

Tôi nghĩ cuốn sách này là một điểm khởi đầu tốt nếu bạn muốn biết thêm về an ninh nói chung trong một php ứng dụng. http://phpsecurity.org/

Tùy chọn bạn có thể xem xét thêm IDS vào ứng dụng web của mình. Tôi có thể đề xuất PHPIDS

Answer 3

Google's Doctype là một thư viện tham khảo và mở rộng cho các nhà phát triển ứng dụng web ". Với tiêu đề chung "An ninh Web", nó có thể được hưởng lợi từ bao gồm nhiều vấn đề hơn, chẳng hạn như CSRF, nhưng nó khá toàn diện trong phạm vi bảo hiểm của các vectơ tấn công XSS. Bạn có biết rằng IE can be tricked thực thi JavaScript trong hình ảnh do người dùng tải lên không?

Answer 4

Javascript:

Đây có thể là một video rất thú vị dành cho bạn: http://www.youtube.com/watch?v=eL5o4PFuxTY

Đừng đi điên trên thông tin đăng nhập và mật khẩu. Hãy lười biếng chuyên nghiệp - biết bạn đang làm gì! JSON là tuyệt vời cho việc truyền dữ liệu, XML có nhiều chi phí trong quan điểm của tôi.

Sử dụng JSON.parse không bao giờ sử dụng eval.

PHP

Luôn luôn sử dụng mysql_real_escape_string hoặc mysqli_escape_string. Sử dụng htmlspecialchars trước khi hiển thị đầu vào của người dùng hoặc sử dụng strip_tags trước khi lưu thông tin nhập của người dùng. Không bao giờ tin tưởng bất cứ điều gì đến từ người dùng/trình duyệt.

Answer 5

Có một số lượng lớn post here trên nhiều khía cạnh của việc tạo trang web, kể cả bảo mật. Đây là một trích xuất từ ​​câu trả lời hàng đầu có thể giúp ích.

• Đó là một rất nhiều để tiêu hóa nhưng OWASP development guide bao gồm an ninh trang web từ trên xuống dưới
  • Biết về SQL injection và làm thế nào để ngăn chặn nó
  • Chưa bao giờ niềm tin người dùng nhập vào (các tập tin cookie được người dùng nhập vào quá!)
  • Mã hóa mật khẩu băm và muối thay vì lưu trữ chúng thuần văn bản.
  • Đừng cố gắng đưa ra hệ thống xác thực ưa thích của riêng bạn: đó là một điều dễ dàng để hiểu sai về những cách tinh tế và không thể tránh khỏi và bạn thậm chí sẽ không biết nó cho đến sau khi bạn bị tấn công.
  • Biết rules for processing credit cards. (See this question as well)
  • Sử dụng SSL/HTTPS để đăng nhập và bất kỳ trang nào, nơi dữ liệu nhạy cảm được nhập (như thông tin thẻ tín dụng)
  • Làm thế nào để chống lại phiên tặc
  • Tránh cross site scripting (XSS)
  • Tránh cross site request forgeries (XSRF)
  • Giữ (các) hệ thống của bạn cập nhật các bản vá mới nhất
  • Đảm bảo thông tin kết nối cơ sở dữ liệu của bạn được bảo mật.
  • Giữ cho mình được thông báo về các kỹ thuật tấn công mới nhất và các lỗ hổng ảnh hưởng đến nền tảng của bạn.
  • đọc The Google Browser Security Handbook
  • đọc The Web Application Hackers Handbook