Dissertação sobre segurança de sites e bancos de dados - precisando de algumas dicas

StackOverflow https://stackoverflow.com/questions/2617860

  •  26-09-2019
  •  | 
  •  

Pergunta

Estou em minha dissertação no último ano da universidade no momento.Uma das áreas que preciso pesquisar é a segurança – tanto para sites quanto para bancos de dados.Atualmente tenho seções sobre o seguinte:

  • Local na rede Internet
    • Segurança de formulário - como validação de dados.Esta seção trata mais de prevenir erros cometidos por usuários legítimos, tanto quanto possível, em vez de impedir hackers, por exemplo, comparar um campo a uma expressão regular e fornecer-lhes feedback significativo sobre quaisquer erros que ocorreram, de modo a impedir que aconteçam novamente.
    • Restrições.Por exemplo, se um valor deve ser verdadeiro ou falso, use uma caixa de seleção.Se for provável que seja um entre vários valores, use um menu suspenso ou um conjunto de caixas de rádio e assim por diante.Se o valor for imprevisível, use expressões regulares para limitar quais caracteres eles podem inserir e para restringir o comprimento da string e, às vezes, para limitar o formato (como para datas/horas, códigos postais e assim por diante).
    • Às vezes você pode limitar as permissões ao formulário.Isso ocorre para que você saiba exatamente quem (sejam nomes de pessoas ou um grupo de pessoas - como administradores ou funcionários) precisará de acesso ao formulário.Restringir as permissões impedirá que membros do público acessem o formulário.
    • Símbolos ou strings que possam ser usados ​​maliciosamente ou fazer com que o site funcione incorretamente (como a tag de script) devem ser filtrados ou codificados em HTML.
    • Imagens Captcha podem ser usadas para evitar que sistemas automatizados preencham e enviem o formulário.
    • Existem alguns hacks para upload de arquivos – como o uso de extensões duplas – que podem permitir que hackers carreguem arquivos maliciosos.
  • Bancos de dados (isso ainda não está nem perto de terminar, mas as seções que planejei estão listadas abaixo)
    • Instruções SQL versus procedimentos armazenados
    • Lançando um erro quando uma das variáveis ​​​​contém caracteres específicos ou grupos de caracteres (não consigo lembrar quais caracteres são, mas já vi uma mensagem enviada para mim antes, onde tentei inserir html ou algo assim em uma área de texto).
    • SQL Injection - e formas de contornar isso, com alguns exemplos.

Alguém tem alguma dica e sugestão sobre onde eu poderia ir para obter informações decentes e confiáveis ​​sobre essas áreas ou sobre outras áreas de segurança que eu poderia cobrir?

Desde já, obrigado.

Cumprimentos,

Ricardo

PS: Sou um completo novato quando se trata de segurança, então seja paciente comigo.Se alguma das informações que coloquei estiver errada ou puder ser subdividida, sinta-se à vontade para informá-lo.

Foi útil?

Solução

Para começar com a segurança de sites, recomendo que você consulte as seguintes fontes -

  1. 10 melhores do OWASP http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
  2. Enumeração de fraquezas comuns - http://cwe.mitre.org/

Ambos listam os principais erros de programação e lhe darão uma vantagem neste campo.

Licenciado em: CC-BY-SA com atribuição
Não afiliado a StackOverflow
scroll top