问网站安全

EN

这是一个非常广泛的话题，不能真正有效地在一个答案中回答。但这里有一些你应该研究和学习的常见问题。

• XSS (跨站点脚本)攻击-一种通过允许在page.
• SQL Injection上执行任意javascript来损害用户安全性的方法-通过允许在数据库上执行任意
  • XSS脚本，攻击者可以从数据库中检索敏感信息，甚至破坏数据。
  • 密码安全性最佳实践-有大量有关如何正确处理用户信息在数据库中的身份验证和存储的信息。

有几个通用的东西可以使用：

1. Good password policies
2. 避免SQL注入到服务器本身，而不仅仅是网站

。

这份清单可以，而且确实可以永远继续下去。这有点含糊，但你的问题也是真的。

听起来你好像在问：“我该如何做安全的web编程？”这对这个网站来说太宽泛了。您要求我们在几个段落中传授关于一个非常多样化的主题的多年行业知识。这是不可能做到的。

你最好买几本关于这个主题的书。您可以从Web Security Testing Cookbook开始。但从那里开始，还有更多的地方可以去。

请记住，“确保网站安全”的两个主要部分是：

1. 在设计时从一开始就考虑到了安全性。复古的安全性并不是很可靠。(正如我的一位老网络管理员曾经说过的，即使你把棉花糖放在钢盒里，它仍然是软的，squishy.)
2. Knowing如何利用安全漏洞，以便更好地测试你自己的implementations.

正如其他人所提到的，这是一个广泛的话题。

就我个人而言，我将从这里开始：http://www.owasp.org/index.php/Top_10_2010

OWASP前10名列表是PCI合规性的基础，并被许多人视为web应用程序安全性的黄金标准。OWASP提供一般指导，以及针对任意数量的平台的具体指导。我在这里学到的关于安全的知识比其他任何地方都多。