我刚刚编写了我的第一个 Web 应用程序(Linux、Apache、MySQL、Django),并希望公开发布它。这是一个伪装成游戏的基于网络表单的任务;我打算最终将它放到Amazon Mechanical Turk上,并为达到一定分数的人提供小额奖金。
尽管这个应用程序没有非常高的安全风险,但我需要保护它免受操纵和逆向工程。但是,我几乎没有接受过测试/安全方面的正式培训。鉴于要赢得有形的奖品,我知道人们会有作弊的动机,无论是通过更改 POST 数据、按“返回”并重新提交数据直到他们获胜等等。到目前为止,我一直在处理这些当我想到可能的漏洞利用时,通过进行安全测试来临时解决问题。然而,我意识到可能有很多我还没有想到的操纵形式。
谁能推荐一些阅读材料,我可以从中学习如何保护我的网站免受操纵和逆向工程?