11

我正在寻找简单而有效的简单步骤,以使 Web 应用程序更安全。

您对安全 Web 应用程序有哪些重要提示,它们将阻止什么样的攻击?

4

6 回答 6

10

Microsoft Technet 有一篇很棒的文章:

设计、构建和部署更安全的 Web 应用程序的十个技巧

以下是该文章中回答的提示的主题:

  1. 从不直接信任用户输入
  2. 服务不应具有系统或管理员访问权限
  3. 遵循 SQL Server 最佳实践
  4. 保护资产
  5. 包括审计、日志记录和报告功能
  6. 分析源代码
  7. 使用深度防御部署组件
  8. 为最终用户关闭深度错误消息
  9. 了解治安管理十法
  10. 制定安全事件响应计划
于 2008-09-06T08:23:56.867 回答
6

不要相信用户输入。

验证预期数据类型和格式对于避免 SQL 注入和跨站点脚本 (XSS) 攻击至关重要。

于 2008-09-06T08:31:17.707 回答
4
  1. 转义用户提供的内容以避免XSS攻击。
  2. 使用参数化SQL或存储过程来避免SQL 注入攻击。
  3. 将网络服务器作为非特权帐户运行,以最大限度地减少对操作系统的攻击。
  4. 再次将网络服务器目录设置为非特权帐户,以最大限度地减少对操作系统的攻击。
  5. 在 SQL 服务器上设置非特权帐户并将它们用于应用程序,以最大限度地减少对数据库的攻击。

如需更深入的信息,总有OWASP Guide to Building Secure Web Applications and Web Services

于 2008-09-06T08:23:10.007 回答
1

我最喜欢的一些:

  1. 过滤输入、转义输出以帮助防范 XSS 或 SQL 注入攻击
  2. 使用准备好的语句进行数据库查询(SQL 注入攻击)
  3. 禁用服务器上未使用的用户帐户以防止暴力密码攻击
  4. 从 HTTP 标头中删除 Apache 版本信息(ServerSignature=Off,ServerTokens=ProductOnly)
  5. 在 chroot 监狱中运行您的 Web 服务器,以限制受损时的损害
于 2008-09-06T15:42:42.053 回答
1

OWASP是您的朋友。他们的十大Web 应用程序安全漏洞列表包括每个问题的描述以及如何防御它。该站点是了解更多有关 Web 应用程序安全性的好资源,并且是丰富的工具和测试技术。

于 2008-09-16T02:14:06.580 回答
0

在 SSL 应用程序的 cookie 上设置安全标志。否则,总会有比破解密码更容易进行的劫持攻击。这就是 CVE-2002-1152 的本质。

于 2008-09-06T13:49:56.757 回答