【问题标题】:Apart from SQL injection what other security vulnerabilities should I be aware of in a website? [closed]除了 SQL 注入之外,我还应该注意网站中的哪些其他安全漏洞? [关闭]
【发布时间】:2012-09-27 14:10:36
【问题描述】:

我通常使用 codeigniter 框架,它提供了一些防止 sql 注入的帮助,例如xss 清除表单输入数据。

我对什么是 sql 注入以及如何阻止它的发生有了一个基本的了解,但是我的一个朋友有一个非常基本的站点,其中唯一的用户输入是一个 cgi 表单到电子邮件脚本 - 部分站点已被替换包含一些成人内容。

所以我很好奇有人如何控制这样一个基本网站,以及在构建自己的网站时应该注意哪些漏洞?

【问题讨论】:

标签: php html css security codeigniter


【解决方案1】:

一个好的起点是OWASP

尤其是OWASP Top 10 details the most common security issues

原则上你应该...

  • 从不信任用户输入(包括表单输入、URL 输入、cookie - 用户可以更改的任何内容,包括使用 Firebug 等检查工具或 Fiddler 等中间人工具)。这方面有很多类别,但 OWASP 确实单独涵盖了它们。

  • 从不信任其他人的脚本(即,您将他们的 JavaScript 文件包含在您的网站中,或将他们的 PHP 文件包含在您的网站中)

  • 从不通过普通 HTTP 进行登录或其他敏感数据交换

【讨论】:

  • 谢谢,这正是我想要的……完美
【解决方案2】:

您可以查看 www.enigmagroup.org/,这对于了解不同的攻击和漏洞非常有用。

【讨论】:

  • 感谢您的链接 - 看起来像是从另一边学习如何完成的地方......我有时间一定会去看看
【解决方案3】:

最好的办法是阅读 OWASP 前 10 名。如果您不熟悉它,那就是开放 Web 应用程序安全项目,它是一个致力于 Web 应用程序安全的社区。

最容易被恶意用户利用的是 SQL 注入和 XSS。 XSS 可能对您的用户不利,但单个 SQL 注入漏洞可能会危及您的整个服务器。可以通过简单地使用参数化查询来防止 SQLI,并且可以通过良好的输入验证和输出编码来防止 XSS。

从软件工程的角度来看,用户提供的输入(包括隐藏字段)绝不应该驱动核心功能。例如,如果您在您的网站上销售产品并且有一个带有价格的隐藏字段,这是非常糟糕的,因为有人可以很容易地修改该值。

如果您要收集用户名和密码,请确保它们经过哈希处理和加盐处理,并确保所有显示或收集用户信息的登录屏幕和页面都具有 SSL (https)。

可以在以下位置找到 OWASP 前 10 名文档:https://www.owasp.org/index.php/Top_10_2010

如果您在输入验证和编码方面需要帮助,请查看 OWASP ESAPI - https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API 并单击 PHP 选项卡。

对于 SQL 注入,只要您正确使用该框架,像 codeigniter 这样的框架就应该保护您。谢天谢地,由于框架使用的增加,SQLI 的问题越来越少。

【讨论】:

    【解决方案4】:

    安全问题与代码行数一样多。一些例子:

    • SQL 注入
    • 后端XSS(含远程代码require_once($_GET['x']
    • 前端的 XSS(包括 JAVASCRIPT 进入页面以劫持会话)
    • 代表用户运行不需要的操作 - 每个操作都像“更改 密码”、“更改配置文件”、“注销”、“添加内容”应该需要 唯一令牌,否则有人可以将用户重定向到那些 行动
    • 如果您从svn checkout 释放,请保护每个文件夹中的 .svn 文件夹 公共目录

    您可以随时使用http://code.google.com/p/skipfish/ 等一些扫描程序来帮助您发现应用程序中的安全问题。

    【讨论】:

      猜你喜欢
      • 2010-09-06
      • 1970-01-01
      • 1970-01-01
      • 2014-09-24
      • 2010-11-12
      • 2013-04-20
      • 2011-08-10
      • 2013-01-02
      • 1970-01-01
      相关资源
      最近更新 更多