Web应用程序安全性的良好指南？

Question

我在制作Web应用程序方面非常出色，我知道如何将数据传入客户端/服务器等等。我需要一些帮助，尽管学习如何使数据交换更加安全。这就是为什么我害怕发布我制作的任何网络应用的原因。我想知道什么是一些很好的指南，可以帮助您了解并学习如何通过Web应用程序保护数据传输？例如更好的身份验证和更好的登录。

您可以发布任何建议，但仅供参考，我主要使用Javascript和PHP编写我的Web应用程序。另外，我使用JSON或XML传输数据。

非常感谢

Answer 1

OWASP有指南，示例项目和测试应用程序的主题web应用程序安全性的一个伟大的选择。

我个人最喜欢的是backend security project，我曾经向我的经理证明我们的内部系统需要很多关注，并且仅仅因为后端安全不是用户感知的好处，并不意味着它可能会忽略。

This project特别给出了数据验证，错误处理，加密等

Answer 2

我认为这本书是一个很好的起点，如果你想了解更多有关安全，一般在一个PHP应用一些好的建议。 http://phpsecurity.org/

（可选）您可以考虑在您的Web应用程序中添加一个IDS。我可以推荐PHPIDS

Answer 3

Google's Doctype是（非常严重命名），其中有一个很好的入门section on Web Security，专注于XSS“开放的百科全书和参考的Web应用程序开发人员库”。鉴于通用标题“网络安全”，它可以从涵盖更多问题中受益，如CSRF，但它在覆盖XSS攻击媒介方面相当全面。你知道IE can be tricked执行JavaScript中应该是一个用户上传的图像？

Answer 4

的Javascript：

这可能是你一个非常有趣的视频： http://www.youtube.com/watch?v=eL5o4PFuxTY

不下去了登录名和密码疯狂。专业懒惰 - 知道你在做什么！ JSON对数据传输非常有用，在我看来，XML有很多开销。

使用JSON.parse从不使用eval。

PHP

始终使用mysql_real_escape_string或mysqli_escape_string。 在保存用户输入之前，在显示用户输入或使用strip_tags之前使用htmlspecialchars。永远不要相信任何来自用户/浏览器的东西。

Answer 5

在创建网站的许多方面，包括安全性方面，都有很棒的post here。这是来自顶部答案的摘录，可能有所帮助。

• 这是一个很大的消化，但OWASP development guide涵盖网站的安全从上到下
  • 知道的关于SQL injection以及如何防止它
  • 决不相信用户输入（cookies是用户输入的呢！）
  • 加密哈希和盐密码，而不是将它们存储为纯文本。
  • 不要试图想出自己的奇特身份验证系统：以微妙且不可测试的方式获取错误是一件容易的事情，并且直到被黑客攻击之后才会知道它。
  • 知道了rules for processing credit cards.（See this question as well）
  • 使用SSL/HTTPS进行登录并在其中输入敏感数据的页面（如信用卡信息）
  • 如何抵御会话劫持
  • 避免cross site scripting (XSS)
  • 避免cross site request forgeries (XSRF)
  • 用最新的补丁程序保持您的系统处于最新状态
  • 确保您的数据库连接信息是安全的。
  • 保持自己的最新攻击技术和漏洞影响您的平台。
  • 阅读The Google Browser Security Handbook
  • 读The Web Application Hackers Handbook