Я нахожусь в моей диссертации в последний год обучения в университете. Одной из областей, которые мне нужны для исследования, является безопасность - как для веб-сайтов, так и для баз данных. Я в настоящее время есть разделы, посвященные следующим:Информация о сайте и безопасности баз данных - в необходимости некоторых указателей
- Сайт
- Форма безопасности - такие, как проверка достоверности данных. Этот раздел посвящен предотвращению ошибок, допущенных законными пользователями, насколько это возможно, а не остановке хакеров, например, сравнение поля с регулярным выражением и предоставление им значимой обратной связи по любым ошибкам, которые произошли, чтобы остановить это снова.
- Ограничения. Например, если значение должно быть истинным или ложным, установите флажок. Если это может быть одно из нескольких значений, используйте раскрывающийся список или набор радиоокна и т. Д. Если значение непредсказуемо, используйте регулярные выражения, чтобы ограничить, какие символы им разрешено вводить, и ограничить длину строки, а иногда и ограничивать формат (например, даты/время, почтовые коды и т. Д.).
- Иногда вы можете ограничить права доступа к форме. Именно по этому случаю вы точно знаете, кому (будь то имена людей или группа людей, например, администраторы или сотрудники), потребуется доступ к форме. Ограничение разрешений запрещает публичным пользователям доступ к форме.
- Символы или строки, которые могут быть использованы злонамеренно или привести к неправильному действию веб-сайта (например, тег сценария), должны быть отфильтрованы или закодированы html.
- Изображения Captcha могут использоваться для предотвращения заполнения автоматическими системами и отправки формы.
- Есть некоторые хаки для загрузки файлов - например, с использованием двойных расширений - что позволяет хакерам загружать вредоносные файлы.
- Базы данных (это далеко не все еще сделано, но секции я Запланированные перечислены ниже)
- заявления SQL против хранимых процедур
- Метание ошибку, когда одна из переменных содержит определенные символы или группы из символов (я не могу вспомнить, какими персонажами они являются, но я видел сообщение, отброшенное на меня раньше, чем я пытался ввести html или что-то в текстовую область).
- SQL Injection - и пути вокруг него, с некоторыми примерами.
Кто-нибудь есть какие-либо советы и подсказки о том, где я мог бы пойти на какую-то достойную и надежную информацию либо об этих областях, или о других областях безопасности, которые я мог бы покрыть?
Заранее спасибо.
С уважением,
Ричард
PS Я полный новичок, когда речь идет о безопасности, поэтому, пожалуйста, будьте терпеливы со мной. Если какая-либо информация, которую я подала, ошибочна или может быть подразделена, пожалуйста, не стесняйтесь сказать это.
hey, Да, я должен был там посмотреть .. owasp подошел как вопрос с 100 знаками в моем расширенном экзамене по разработке, хотя это было только одно звено во ВСЕХ материалах, которые нам дали .. Спасибо за ссылки .. только посмотрел на первый пока, но до сих пор он действительно хорош. С уважением, Richard – ClarkeyBoy
Эй, собираюсь вернуться к вам по этому поводу. Я закончил всю свою диссертацию и в итоге использовал только одну из этих ссылок, прежде чем я превзошел предел слов. Просто ожидаю результата сейчас .. не могу подождать. Еще раз спасибо. – ClarkeyBoy