3

初めての Web アプリケーション (Linux、Apache、MySQL、Django) の 1 つを作成したばかりで、公開したいと考えています。これは、ゲームを装った Web フォーム ベースのタスクです。最終的にはAmazon Mechanical Turkに載せて、一定のスコアを達成した人に小さなボーナスを与えるつもりです.

このアプリのセキュリティ リスクはそれほど高くありませんが、改ざんやリバース エンジニアリングからアプリを保護する必要があります。ただし、テスト/セキュリティに関する正式なトレーニングはほとんど受けていません。獲得できる具体的な賞品があることを考えると、POST データを変更したり、「戻る」を押して、勝つまでデータを再送信したりして、不正行為を行うインセンティブがあることはわかっています。これまでのところ、私はこれらに対処してきましたエクスプロイトの可能性を考えながら、セキュリティ テストを実施することで、アドホック ベースで問題を解決します。しかし、私がまだ考えていない操作の形式がおそらくたくさんあることに気づきました。

Web サイトを改ざんやリバース エンジニアリングから保護する方法を学べる読み物を推奨してくれる人はいますか?

4

4 に答える 4

2

SQL インジェクション

悪意のあるユーザーが URL クエリ文字列を介して SQL クエリを変更できないようにします。

DoS 攻撃

同じ IP アドレスのユーザーが短期間に何度もサイトにアクセスするのを防ぎます。

パスワードの強度

ユーザーが独自のパスワードを作成できるようにする場合は、ユーザーがより強力なパスワードを入力するように促すパスワード強度インジケーターを表示します。

キャプチャ

キャプチャ画像を提示することで、人間以外のユーザーがフォームに送信するのを防ぎます。パスワード認証が何度も失敗した場合に、ロボットがパスワードを推測するのを防ぐために、これを使用することもできます。

于 2009-03-29T03:33:35.880 に答える
2

読むのに非常に適した場所は OWASP です。http://www.owasp.org/index.php/Main_Pageを参照してください。Web サイトのセキュリティに関する広範なドキュメントがあります。

編集: 簡単な概要については、「トップ 10」を確認してください。

于 2009-03-29T03:40:30.687 に答える
2

Google ブラウザ セキュリティ ハンドブックには、Web アーキテクチャの潜在的な脆弱性に関する多くの情報が含まれています。特に、(SQL インジェクション攻撃などのサーバー ベースの脆弱性とは対照的に) Web ブラウザの動作によって影響を受ける詳細について説明しています。Cookie、クロスドメイン要求、画像、MIME タイプなどを処理する方法など、セキュリティに影響を与える方法でブラウザーがどのように機能するかを学ぶための良い出発点です。

于 2009-03-29T03:58:06.587 に答える
1

私がお勧めする 1 冊の本は、Ross Anderson 著の「 Security Engineering 」です。かなり詳細で、コンピューター セキュリティに関連するさまざまなトピックの概要を説明していますが、そのすべてが Web サイトのセキュリティ保護に関連しているわけではありません。

于 2009-03-29T03:47:23.803 に答える