Диссертация О сайте и базе данных безопасности - нуждаются в некоторых указателях

StackOverflow https://stackoverflow.com/questions/2617860

  •  26-09-2019
  •  | 
  •  

Вопрос

Я нахожусь в диссертации в моем последнем году в университете в данный момент. Одна из областей, которыми мне нужно исследовать, является безопасность - для обеих веб-сайтов, так и для баз данных. В настоящее время у меня есть разделы на следующем:

  • Веб-сайт
    • Форма безопасности - такая как проверка данных. Этот раздел больше о предотвращении ошибок, сделанных законным пользователям как можно больше, чем останавливая хакеров, например, сравнивая поле к регулярному выражению и дает им значимую обратную связь по любым ошибкам, которые произошли, чтобы остановить это снова.
    • Ограничения. Например, если значение должно быть правдой или ложным, то используйте флажок. Если он, вероятно, будет одним из нескольких значений, затем используйте раскрывающийся или набор радиосвязи, и так далее. Если значение непредсказуемо, то используйте регулярные выражения, чтобы ограничить, какие символы им разрешено вводить, и ограничивать длину строки, а иногда и для ограничения формата (например, для дат / раз, почтовых кодов и т. Д.).
    • Иногда вы можете ограничить разрешения на форму. Это в том случае, если вы точно знаете, кто (будь то названия людей или группа людей, таких как администраторы или сотрудники), собирается получить доступ к форме. Ограничение разрешений остановит членов общественности от возможности получить доступ к форме.
    • Символы или струны, которые могут быть использованы злонамеренно или привести к тому, что веб-сайт неверно действует (например, тег сценария), должен быть отфильтрован или закодирован HTML.
    • Капча изображения могут быть использованы для предотвращения заполнения автоматических систем и отправки формы.
    • Есть несколько хайков для загрузки файлов - например, использование двойных расширений - которые могут разрешить хакерам загружать вредоносные файлы.
  • Базы данных (это нигде еще не сделано, но разделы, которые я запланировал, перечислены ниже)
    • SQL-заявления против хранимых процедур
    • Бросая ошибку, когда одна из переменных содержит конкретные символы или группы символов (я не могу вспомнить, какие они есть символы, но я видел сообщение, брошенное на меня до того, как я пытался ввести HTML или что-то в текстовую область).
    • SQL инъекция - и пути вокруг него, с некоторыми примерами.

У кого-нибудь есть какие-либо подсказки и советы, где я мог бы пойти на достойную, достоверную информацию либо об этих областях, либо о других областях безопасности, которую я мог бы охватить?

Заранее спасибо.

С уважением,

Ричард

PS Я полный новичок, когда дело доходит до безопасности, поэтому, пожалуйста, будьте терпеливы со мной. Если какая-либо из информации, которую я сдал ошибкой, или может быть подменным, пожалуйста, не стесняйтесь так.

Это было полезно?

Решение

Чтобы начать работу на веб-сайте безопасности, я рекомендую вам пройти следующие источники -

  1. OwASP топ-10 - http://www.owass.org/index.php/category:ovass_top_ten_project.
  2. Обычная слабость перечисления - http://cwe.mitre.org/

Оба перечислите верхние ошибки программирования и дадут вам начало главы в этом поле.

Лицензировано под: CC-BY-SA с атрибуция
Не связан с StackOverflow
scroll top