安全Web应用程序的重要提示

时间:2008-09-06 08:21:35

标签: security web-applications

我正在寻找简单有效的步骤,使Web应用程序更加安全。

您对安全网络应用程序有哪些重要提示,以及它们会停止哪种攻击?

6 个答案:

答案 0 :(得分:10)

Microsoft Technet有一篇优秀的文章:

Ten Tips for Designing, Building, and Deploying More Secure Web Applications

以下是该文章中提到的提示的主题:

  1. 永远不要直接信任用户输入
  2. 服务应该既没有系统也没有管理员访问
  3. 遵循SQL Server最佳实践
  4. 保护资产
  5. 包括审核,日志记录和报告功能
  6. 分析源代码
  7. 使用深度防御部署组件
  8. 关闭最终用户的深度错误消息
  9. 了解10 Laws of Security Administration
  10. 制定安全事件响应计划

答案 1 :(得分:6)

不信任用户输入。

验证预期的数据类型和格式对于避免SQL注入和跨站点脚本(XSS)攻击至关重要。

答案 2 :(得分:4)

  1. 转义用户提供的内容以避免XSS次攻击。
  2. 使用paremeterised SQL或存储过程来避免SQL Injections攻击。
  3. 将网络服务器作为非特权帐户运行,以最大限度地减少对操作系统的攻击。<​​/ li>
  4. 再次将webserver目录设置为非特权帐户,以最大限度地减少对操作系统的攻击。<​​/ li>
  5. 在SQL服务器上设置非特权帐户,并将其用于应用程序,以最大限度地减少对数据库的攻击。<​​/ li>

    有关更深入的信息,始终有OWASP Guide to Building Secure Web Applications and Web Services

答案 3 :(得分:1)

我的一些最爱:

  1. Filter Input, Escape Output帮助防范XSS或SQL注入攻击
  2. 使用预准备语句进行数据库查询(SQL注入攻击)
  3. 禁用服务器上未使用的用户帐户以防止强力密码攻击
  4. 从HTTP标头中删除Apache版本信息(ServerSignature = Off,ServerTokens = ProductOnly)
  5. 在chroot监狱中运行您的网络服务器,以便在受到损害时限制损害

答案 4 :(得分:1)

OWASP是你的朋友。他们的Top Ten List Web应用程序安全漏洞包括每个问题的描述以及如何防御它。该网站是学习更多有关Web应用程序安全性的良好资源,同时也是丰富的工具和测试技术。

答案 5 :(得分:0)

在SSL应用程序的cookie上设置安全标志。否则总会有一个劫持攻击,比破坏加密更容易进行 。这是CVE-2002-1152的精髓。

相关问题
最新问题