Web サイトとデータベースのセキュリティに関する論文 - いくつかのヒントが必要です

Question

私は現在、大学の最終学年で論文の執筆中です。研究する必要がある分野の 1 つは、Web サイトとデータベースの両方のセキュリティです。現在、次のセクションがあります。

• Webサイト
  • フォームのセキュリティ - データ検証など。このセクションは、ハッカーを阻止するというよりは、正当なユーザーによるエラーを可能な限り防ぐことを目的としています。たとえば、フィールドを正規表現と比較し、発生したエラーについて有意義なフィードバックを提供して、再発を阻止します。
  • 制約。たとえば、値が true または false である必要がある場合は、チェックボックスを使用します。複数の値のいずれかである可能性が高い場合は、ドロップダウンまたは一連のラジオ ボックスなどを使用します。値が予測できない場合は、正規表現を使用して、入力できる文字を制限し、文字列の長さを制限し、場合によっては形式 (日付/時刻、郵便番号など) を制限します。
  • 場合によっては、フォームへのアクセス許可を制限できることがあります。これは、誰がフォームにアクセスする必要があるのか​​ (管理者や従業員などの人の名前またはグループ) が正確にわかっている場合に使用されます。権限を制限すると、一般のメンバーはフォームにアクセスできなくなります。
  • 悪意を持って使用されたり、Web サイトが誤動作する原因となる可能性のある記号や文字列 (スクリプト タグなど) は、フィルタリングして除外するか、HTML エンコードする必要があります。
  • キャプチャ画像を使用すると、自動システムがフォームに入力して送信するのを防ぐことができます。
  • ファイルのアップロードには、二重拡張子の使用などのハッキングがいくつかあり、ハッカーが悪意のあるファイルをアップロードできる可能性があります。
• データベース (これはまだ完成に近づいていませんが、計画しているセクションを以下に示します)
  • SQL ステートメントとストアド プロシージャ
  • 変数の 1 つに特定の文字または文字のグループが含まれている場合にエラーがスローされます (それらが何の文字であるか思い出せませんが、以前にテキスト領域に html か何かを入力しようとしたときにメッセージがスローされてきたのを見たことがあります)。
  • SQL インジェクション - およびその回避方法と例をいくつか示します。

これらの分野、または私がカバーできるセキュリティの他の分野について、まともで信頼できる情報をどこに行けば入手できるかについて、何かヒントやヒントを持っている人はいますか?

前もって感謝します。

よろしくお願いします。

リチャード

PS 私はセキュリティに関してはまったくの初心者なので、しばらくお待ちください。私が記載した情報が間違っている場合、またはサブセクションに分割される可能性がある場合は、お気軽に言ってください。

Answer 1

Web サイトのセキュリティを始めるには、次のソースを参照することをお勧めします。

1. OWASP トップ 10 - http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
2. 共通の弱点の列挙 - http://cwe.mitre.org/

どちらも主なプログラミング エラーをリストしており、この分野で有利なスタートを切ることができます。