Web应用安全的好指南？

Question

我很擅长制作web应用程序，我知道如何在客户端/服务器之间传输数据，等等。我需要一些帮助，尽管我需要学习如何使数据交换更安全。这就是为什么我有点害怕发布我制作的任何web应用程序的原因。我想知道有什么好的指南可以帮助你理解和学习如何用你的web应用程序保护数据传输？例如，更好的身份验证和更好的登录。

你可以发布任何建议，但仅供参考，我主要使用Javascript和PHP编写我的web应用程序。另外，我使用JSON或XML传输数据。

非常感谢

Answer 1

OWASP有很多关于web应用程序安全的指南、示例项目和测试应用程序。

我个人最喜欢的是backend security project，我用它来向我的经理证明我们的内部系统需要大量的关注，仅仅因为后端安全不是用户感知的好处，并不意味着它可以被忽视。

特别是This project在数据验证、错误处理、密码学等方面提供了一些很好的建议。

Answer 2

在创建站点的许多方面都有很好的post here，包括安全性。这是从上面的答案中摘录出来的，可能会有所帮助。

• 要理解的东西很多，但OWASP development guide自上而下涵盖了网站安全
  • 了解SQL injection和如何防止它
  • 永远不要信任用户输入(cookie也是用户输入！)
  • 加密散列和盐密码而不是存储它们尝试想出你自己的奇特认证系统:这是一件很容易以微妙和无法测试的方式出错的事情，直到你被黑客入侵后你才会意识到这一点。H213
  • Avoid cross site scripting (XSS)
  • Avoid cross site request forgeries (XSRF)
  • Keep
  • 了解用于登录和输入敏感数据(如信用卡信息)的rules for processing credit cards. (See this question as well)
  • Use SSL/HTTPS的任何页面
  • 如何使用最新的修补程序抵制您的系统
  • 确保您的数据库连接信息是最新的，请自行了解影响您的HTTPS的最新攻击技术和漏洞

​

Answer 3

我认为这本书是一个很好的起点，如果你想了解更多关于php应用程序安全性的一般知识。http://phpsecurity.org/

您可以考虑将IDS添加到web应用程序中。我可以推荐PHPIDS