Диссертация О сайте и базе данных безопасности - нуждаются в некоторых указателях
-
26-09-2019 - |
Вопрос
Я нахожусь в диссертации в моем последнем году в университете в данный момент. Одна из областей, которыми мне нужно исследовать, является безопасность - для обеих веб-сайтов, так и для баз данных. В настоящее время у меня есть разделы на следующем:
- Веб-сайт
- Форма безопасности - такая как проверка данных. Этот раздел больше о предотвращении ошибок, сделанных законным пользователям как можно больше, чем останавливая хакеров, например, сравнивая поле к регулярному выражению и дает им значимую обратную связь по любым ошибкам, которые произошли, чтобы остановить это снова.
- Ограничения. Например, если значение должно быть правдой или ложным, то используйте флажок. Если он, вероятно, будет одним из нескольких значений, затем используйте раскрывающийся или набор радиосвязи, и так далее. Если значение непредсказуемо, то используйте регулярные выражения, чтобы ограничить, какие символы им разрешено вводить, и ограничивать длину строки, а иногда и для ограничения формата (например, для дат / раз, почтовых кодов и т. Д.).
- Иногда вы можете ограничить разрешения на форму. Это в том случае, если вы точно знаете, кто (будь то названия людей или группа людей, таких как администраторы или сотрудники), собирается получить доступ к форме. Ограничение разрешений остановит членов общественности от возможности получить доступ к форме.
- Символы или струны, которые могут быть использованы злонамеренно или привести к тому, что веб-сайт неверно действует (например, тег сценария), должен быть отфильтрован или закодирован HTML.
- Капча изображения могут быть использованы для предотвращения заполнения автоматических систем и отправки формы.
- Есть несколько хайков для загрузки файлов - например, использование двойных расширений - которые могут разрешить хакерам загружать вредоносные файлы.
- Базы данных (это нигде еще не сделано, но разделы, которые я запланировал, перечислены ниже)
- SQL-заявления против хранимых процедур
- Бросая ошибку, когда одна из переменных содержит конкретные символы или группы символов (я не могу вспомнить, какие они есть символы, но я видел сообщение, брошенное на меня до того, как я пытался ввести HTML или что-то в текстовую область).
- SQL инъекция - и пути вокруг него, с некоторыми примерами.
У кого-нибудь есть какие-либо подсказки и советы, где я мог бы пойти на достойную, достоверную информацию либо об этих областях, либо о других областях безопасности, которую я мог бы охватить?
Заранее спасибо.
С уважением,
Ричард
PS Я полный новичок, когда дело доходит до безопасности, поэтому, пожалуйста, будьте терпеливы со мной. Если какая-либо из информации, которую я сдал ошибкой, или может быть подменным, пожалуйста, не стесняйтесь так.
Решение
Чтобы начать работу на веб-сайте безопасности, я рекомендую вам пройти следующие источники -
- OwASP топ-10 - http://www.owass.org/index.php/category:ovass_top_ten_project.
- Обычная слабость перечисления - http://cwe.mitre.org/
Оба перечислите верхние ошибки программирования и дадут вам начало главы в этом поле.