1. घर
  2. सवाल और जवाब
  3. सुरक्षित वेब अनुप्रयोगों के लिए शीर्ष युक्तियाँ

सुरक्षित वेब अनुप्रयोगों के लिए शीर्ष युक्तियाँ

2008-09-06 14 views
11

मैं आसान कदम ढूंढ रहा हूं जो वेब एप्लिकेशन को और अधिक सुरक्षित बनाने में सरल और प्रभावी हैं।सुरक्षित वेब अनुप्रयोगों के लिए शीर्ष युक्तियाँ

सुरक्षित वेब अनुप्रयोगों के लिए आपकी शीर्ष युक्तियां क्या हैं, और वे किस प्रकार का हमला रोकेंगे?

स्रोत

2008-09-06 Oded

उत्तर

10

माइक्रोसॉफ्ट टेकनेट है उत्कृष्ट लेख एन:

Ten Tips for Designing, Building, and Deploying More Secure Web Applications

कुछ सुझाव है कि लेख में जवाब के लिए विषय हैं:

  1. सीधे उपयोगकर्ता इनपुट पर भरोसा न करें
  2. सेवाएं न तो सिस्टम है और न ही प्रशासनिक पहुँच
  3. पालन एसक्यूएल सर्वर उत्तम आचरण
  4. आस्तियों
  5. लेखा परीक्षा, लॉगिंग, और रिपोर्टिंग विशेषताएं शामिल
  6. का विश्लेषण करें Protect स्रोत कोड
  7. तैनात अवयव में रक्षा का प्रयोग होना चाहिए गहराई
  8. अंतिम उपयोगकर्ताओं के लिए इन-डेप्थ त्रुटि संदेश बंद
  9. 10 Laws of Security Administration
    10. पता
  10. एक सुरक्षा घटना प्रतिक्रिया योजना

स्रोत

2008-09-06 08:23:56 Espo

+0

मुझे विशेष रूप से टिप संख्या पसंद है। 10! माना जाता है, पहले कभी इसके बारे में सोचा नहीं है। –

4
  1. XSS हमलों से बचने के लिए उपयोगकर्ता द्वारा प्रदान की गई सामग्री से बचें।
  2. paremeterised SQL या संग्रहीत प्रक्रियाओं का उपयोग SQL Injections हमलों से बचने के लिए।
  3. ओएस पर हमलों को कम करने के लिए एक अप्रतिबंधित खाते के रूप में वेबसर्वर को चला रहा है।
  4. ओएस पर हमलों को कम करने के लिए, फिर से, एक गैर-वंचित खाते में वेबसर्वर निर्देशिका सेट करना।
  5. SQL सर्वर पर अनधिकृत खातों की स्थापना करना और डीबी पर हमलों को कम करने के लिए एप्लिकेशन के लिए उनका उपयोग करना।

गहराई से जानकारी में अधिक जानकारी के लिए, वहाँ हमेशा है OWASP Guide to Building Secure Web Applications and Web Services

स्रोत

2008-09-06 08:23:10 Oded

6

उपयोगकर्ता इनपुट पर भरोसा न करें।

एसक्यूएल इंजेक्शन और क्रॉस-साइट स्क्रिप्टिंग (एक्सएसएस) हमलों से बचने के लिए अपेक्षित डेटा प्रकारों और स्वरूपण का सत्यापन आवश्यक है।

स्रोत

2008-09-06 08:31:17

0

एसएसएल अनुप्रयोगों के लिए कुकीज़ पर सुरक्षित ध्वज सेट करें। अन्यथा हमेशा एक हाईजैकिंग हमला होता है जो क्रिप्टो तोड़ने से अधिक संचालन करना आसान होता है। यह सीवीई-2002-1152 का सार है।

स्रोत

2008-09-06 13:49:56 Purfideas

1

मेरे पसंदीदा में से कुछ हैं:

  1. Filter Input, Escape Output XSS या एसक्यूएल इंजेक्शन हमलों के खिलाफ गार्ड मदद करने के लिए
  2. उपयोग करने के लिए डेटाबेस प्रश्नों के लिए बयान (SQL इंजेक्शन हमले से) अपने सर्वर पर
  3. अक्षम अप्रयुक्त उपयोगकर्ता खातों तैयार ब्रूट फोर्स पासवर्ड हमलों को रोकें
  4. HTTP शीर्षलेख से अपाचे संस्करण जानकारी निकालें (सर्वरसाइनचर = ऑफ, सर्वरटोकेंस = उत्पाद केवल)
  5. अपना वेब चलाएं अगर

स्रोत

2008-09-06 15:42:42

+0

+1 से बचने के विरोध में 'फ़िल्टर इनपुट' +1। उपयोगकर्ता के अमान्य इनपुट को मालिश करने की कोशिश न करें। – n0rm1e

1

OWASP आपके मित्र हैं तो क्षति को सीमित करने के लिए एक क्रोट जेल में सर्वर। वेब अनुप्रयोग सुरक्षा भेद्यता के उनके Top Ten List में प्रत्येक समस्या का वर्णन और इसके खिलाफ बचाव कैसे किया जाता है। साइट वेब अनुप्रयोग सुरक्षा के बारे में अधिक जानने के लिए एक अच्छा संसाधन है और यह उपकरण और परीक्षण तकनीकों का भी धन है।

स्रोत

2008-09-16 02:14:06 Markc

संबंधित मुद्दे
नवीनतम प्रश्न

 संबंधित मुद्दे