11
A
回答
10
微軟的Technet有恩優秀文章:
Ten Tips for Designing, Building, and Deploying More Secure Web Applications
以下是該文章中回答提示的主題:
- 永不直接信任用戶輸入 個
- 服務應該既沒有制度,也沒有管理員權限
- 跟蹤SQL Server最佳實踐
- 保護資產
- 包括審計,日誌記錄和報告功能
- 分析源代碼
- 部署組件在使用防禦深度
- 關閉最終用戶的詳細錯誤消息
- 瞭解10 Laws of Security Administration
- 安全事件響應計劃
4
- 逃避用戶提供的內容以避免XSS攻擊。
- 使用paremeterised SQL或存儲過程來避免SQL Injections攻擊。
- 將網絡服務器作爲非特權帳戶運行,以儘量減少對操作系統的攻擊。
- 將web服務器目錄設置爲非特權帳戶,以最大限度地減少對操作系統的攻擊。
- 在SQL服務器上設置非特權帳戶並將它們用於應用程序以最大限度地減少對數據庫的攻擊。
對於更深入的信息,總有OWASP Guide to Building Secure Web Applications and Web Services
6
不信任用戶輸入。
驗證預期的數據類型和格式對於避免SQL注入和跨站點腳本攻擊(XSS)非常重要。
0
在SSL應用程序的cookie上設置安全標誌。否則總會有一個劫持攻擊,比攻破密碼更容易進行。這是CVE-2002-1152的精髓。
1
一些我的最愛:
- Filter Input, Escape Output,以幫助防範XSS或SQL注入攻擊
- 準備使用您的服務器上的數據庫查詢語句(SQL注入攻擊)
- 禁用未使用的用戶帳戶防止暴力密碼攻擊
- 從HTTP標頭中刪除Apache版本信息(ServerSignature = Off,ServerTokens = ProductOnly)
- 運行您的Web服務器在chroot監獄中,以在受到損害時限制損害
+0
+ 1爲'過濾器輸入',而不是轉義。切勿嘗試按摩用戶的無效輸入。 – n0rm1e 2011-11-10 04:51:13
1
OWASP是你的朋友。他們的Web應用程序安全漏洞的Top Ten List包括每個問題的描述以及如何防範它。該網站是學習更多關於Web應用程序安全性的好資源,同時也是豐富的工具和測試技術。
相關問題
- 1. Web應用程序安全
- 2. Web應用程序安全
- 3. Web應用程序的登錄安全
- 4. tomcat中的安全web應用程序
- 5. ASP.NET Web應用程序的安全庫
- 6. 在線安全的web應用程序
- 7. J2EE7中的Web應用程序安全
- 8. .NET Web應用程序的應用程序安全審計?
- 9. Scala Web應用程序安全
- 10. Intranet Web應用程序安全
- 11. Java Web應用程序安全理念
- 12. Struts2 web應用程序安全
- 13. Restful Web應用程序安全
- 14. Web應用程序安全測試
- 15. Java Web Start應用程序需要中等安全性
- 16. 在兩個Web應用程序之間提供安全性
- 17. 通過Active Directory爲Web應用程序提供安全性
- 18. ADSF安全的Web應用程序調用Web服務
- 19. 安全的應用程序
- 20. 安全認證:Rails的Web應用程序和iOS應用
- 21. 全高Web應用程序
- 22. 爲用戶和用戶組提供安全訪問的Web應用程序
- 23. web應用程序中的線程安全
- 24. Web應用程序開發:應用程序設計的安全實踐
- 25. 使用Firebug的Web應用程序的安全問題
- 26. Android應用程序安全
- 27. MongoDb應用程序安全
- 28. 安全的python web應用
- 29. 安全提供程序在Android應用程序(SunEC)
- 30. 線程安全的網絡應用程序 - 爲什麼這很重要?
我特別喜歡小費沒有。 10!無可否認,之前從未想過這件事。 – 2010-10-15 18:16:26