사기꾼으로부터 웹 기반 게임을 어떻게 보호 할 수 있습니까?

Question

방금 첫 번째 웹 응용 프로그램 중 하나 (Linux, Apache, MySQL, Django)를 작성했으며 공개적으로 출시하고 싶습니다. 그것은 게임으로 위장한 웹 기반 작업입니다. 나는 결국 그것을 착용하려고한다 아마존 기계식 터크 특정 점수를 달성하는 사람들에게 작은 보너스를 제공합니다.

이 앱의 보안 위험이 크지 않더라도 조작 및 리버스 엔지니어링으로부터 보호해야합니다. 그러나 테스트/보안에 대한 공식적인 교육이 거의 없습니다. 우승 할 유형의 상이 있다는 점을 감안할 때, 사람들은 게시물 데이터를 변경하고, "뒤로"눌러 "를 누르고, 그들이 이길 때까지 데이터를 다시 제출함으로써 사람들이 속임수에 대한 인센티브를 가질 것이라는 것을 알고 있습니다. 지금까지, 나는 이것들을 다루고 있습니다. 가능한 악용을 생각할 때 보안 테스트를함으로써 임시로 문제가 있습니다. 그러나 나는 아직 생각하지 않은 많은 형태의 조작이있을 것입니다.

누구든지 조작 및 역 엔지니어링으로부터 내 웹 사이트를 보호하는 방법을 배울 수있는 읽기 자료를 권장 할 수 있습니까?

Answer 1

읽기에 아주 좋은 곳은 Owasp입니다. 보다 http://www.owasp.org/index.php/main_page. 웹 사이트 보안에 관한 광범위한 문서가 있습니다.

편집 : 빠른 개요는 "Top Ten"을 확인하십시오.

Answer 2

그만큼 Google 브라우저 보안 핸드북 웹 아키텍처의 잠재적 취약점, 특히 웹 브라우저의 동작에 영향을받는 세부 사항 (SQL 주입 공격 등과 같은 서버 기반 취약점과 반대로)에 대한 많은 정보가 있습니다. 쿠키, 크로스 도메인 요청, 이미지 및 MIME 유형 등을 처리하는 방법과 같이 보안에 영향을 미치는 방식으로 브라우저가 어떻게 작동하는지 배우기위한 좋은 출발점입니다.

Answer 3

SQL 주입

URL 쿼리 문자열을 통해 악의적 인 사용자가 SQL 쿼리를 변경하는 것을 방지합니다.

DOS 공격

동일한 IP 주소의 사용자가 작은 시간 내에 사이트에 과도한 시간에 액세스하는 것을 방지하십시오.

비밀번호 강도

사용자가 자신의 암호를 만들 수 있도록 허용하면 비밀번호 강도 표시기가 표시되어 사용자가 더 강력한 비밀번호를 입력하도록 권장하십시오.

CARTCHA

인간이 아닌 사용자가 보안 문자 이미지를 제시하여 양식에 제출하는 것을 중지하십시오. 로봇이 비밀번호를 추측하지 못하도록 비밀번호 인증이 여러 번 실패한 경우이를 사용하고 싶을 수도 있습니다.

Answer 4

내가 추천 할 수있는 책 중 하나는 "보안 엔지니어링"Ross Anderson에 의해. 그것은 상당히 상세하며 컴퓨터 보안과 관련된 여러 주제에 대한 좋은 개요를 제공하지만, 모든 것이 웹 사이트 보안과 관련이있는 것은 아닙니다.