php - Web App Güvenliği İçin İyi Şeyler?

Ben web uygulamaları yapmaya oldukça iyi ve ben ben veri alışverişleri daha güvenli hale getirmek için öğrenme olsa biraz yardıma ihtiyacım istemci / sunucu, vb ve veri aktarmak için biliyorum. Ben biraz korkuyorum ben yapmak herhangi bir web uygulamasını yayınlamak hissediyorum nedeni de budur. Seni anlamak ve web uygulaması ile veri aktarımı güvenli öğrenmek için bazı iyi kılavuzları ne olduğunu bilmek istedi? Daha iyi örneğin kimlik doğrulama ve daha iyi giriş yapmak gibi şeyler.

Siz herhangi bir öneri gönderebilir, ama sadece bilgi için, ben özellikle JavaScript ve PHP ile benim web uygulamaları kodlayın. Ayrıca, JSON veya XML kullanarak benim veri aktarımı.

Thanks a lot

5 Cevap

OWASP konusu web uygulama güvenliği ile ilgili rehberler, örnek projeler ve test uygulamalarının büyük bir seçim var.

Benim kişisel favori backend security project, bizim iç sistemler ilgi çok ihtiyacı olduğunu menejerimle kanıtlamak için, ve arka uç güvenlik kullanıcı tarafından algılanan fayda değildi çünkü, onu demek kullandın, değil mi hangi göz ardı edilebilir.

This project Özellikle vb veri doğrulama için bazı iyi tavsiye, hata işleme, kriptografi verir

Orada büyük bir post here güvenlik dahil siteleri oluşturma birçok yönleri üzerinde. Bu yardımcı olabilir üst cevap bir özüdür.

It's a lot to digest but the OWASP development guide covers Web Site security from top to bottom
- Bunu önlemek için nasıl SQL injection hakkında bilmek ve
- Asla kullanıcı girişi (Çerezler çok kullanıcı girişi vardır!)
- Hash ve tuz şifreleri yerine, onları düz metin depolamak şifreleyin.
- Kendi fantezi kimlik doğrulama sistemi ile gelip çalışmayın: o ince ve untestable şekillerde yanlış almak bu kadar kolay bir şey ve hatta saldırıya konum sonrasına kadar bunu bilemeyiz.
- Bilir rules for processing credit cards. (See this question as well)
- Giriş ve (kredi kartı bilgileri gibi) hassas veri girilen sayfalar için SSL / HTTPS kullanın
- Oturum ele karşı nasıl
- Kaçının cross site scripting (XSS)
- Kaçının cross site request forgeries (XSRF)
- Son yamaları ile güncel sistem (ler) tutun
- Veritabanı bağlantı bilgileri güvenli olduğundan emin olun.
- Platformunuzu etkileyen son saldırı teknikleri ve güvenlik açıkları hakkında bilgi kendinizi tutun.
- Oku The Google Browser Security Handbook
- Oku The Web Application Hackers Handbook

I think this book is a good starting point if you want to know more about security in general in a php-application. http://phpsecurity.org/

İsteğe bağlı web uygulaması için bir IDS eklemeyi düşünebiliriz. Ben tavsiye ederim PHPIDS

Google's Doctype (çok kötü) adlı "açık ansiklopedi ve web uygulamaları geliştiricileri için referans kitaplığı" XSS odaklanan iyi bir tanıtım section on Web Security sahiptir. Genel başlığı "Web Security" göz önüne alındığında, bu tür CSRF gibi daha konularını kapsayan yarar olabilir, ama bu XSS saldırı vektörleri bu kapsama oldukça kapsamlı bulunuyor. Biliyor muydunuz IE can be tricked, bir kullanıcı yüklenen görüntü olması gereken JavaScript yürütme içine?

Javascript:

This might be a very interesting video for you: http://www.youtube.com/watch?v=eL5o4PFuxTY

Don't go crazy on logins and passwords. Be professionally lazy - know what you are doing! JSON is great for data transfer, XML has to much overhead in my opinion.

Kullanım JSON.parse eval kullanmak asla.

PHP

Always use mysql_real_escape_string or mysqli_escape_string. Use htmlspecialchars before displaying user input or use strip_tags before saving user input. Never trust anything coming from the user/browser.

Web App Güvenliği İçin İyi Şeyler?

5 Cevap

etiketler