web应用程序攻击，必须有防御方法

Question

对于常见的web攻击，如XSS、Sql Injection、拒绝服务等，您必须有哪些防御方法？

编辑:，我从维基百科收集了你的回复。我补充了一些额外的问题，以便有一个完整的参考。

Sql注入 SQL注入是一种代码注入技术，它利用应用程序数据库层中出现的安全漏洞。当用户输入被错误筛选为嵌入在SQL语句中的字符串文字转义字符时，或者用户输入没有强类型，从而意外地执行时，就会出现此漏洞。当一种编程或脚本语言嵌入到另一种编程或脚本语言中时，它是一个更通用的漏洞类的实例。

• 不要信任用户输入，并尽早验证它。
• 不要从原始用户输入-使用参数构建SQL。

跨站点脚本(XSS) 跨站点脚本是一种通常在web应用程序中发现的计算机安全漏洞，它允许恶意web用户将代码注入其他用户查看的网页。此类代码的示例包括HTML代码和客户端脚本。攻击者可以使用受攻击的跨站点脚本漏洞绕过访问控制，例如相同的源策略。

• 不要逐字输出或执行用户提交的内容。
• HTML-编码所有输出。

拒绝服务攻击 拒绝服务攻击(DoS攻击)或分布式拒绝服务攻击(DDoS攻击)是试图使计算机资源对其预期用户不可用的行为。虽然实施DoS攻击的手段、动机和目标可能各不相同，但它通常包括一个或多个人协调一致的恶意努力，以防止互联网网站或服务的有效运作，或暂时或无限期地运作。

我知道，以编程方式避免拒绝服务攻击似乎是不可能的，但你认为呢？

Brute部队攻击 在密码分析中，蛮力攻击是一种通过系统地尝试大量可能性来击败密码方案的方法；例如，为了解密一条消息，在密钥空间中有大量可能的密钥。在大多数方案中，人们都认识到了蛮力攻击的理论可能性，但其设置方式在计算上是不可行的。

• 每当太多登录尝试出错时，就锁定一个帐户。永远不要允许无限的重试。
• 输入错误的密码时添加延迟。

一些额外的问题:

• 你对试图根据内容发布输入的网络机器人有何看法？例如，使用图像验证也是如此。
• 您对javascript about 函数有什么看法？
• 是否有一种方法可以访问服务器上没有暴露在外部的内容。例如，我有一个页面将一些重要的记录插入到我的数据库中，只有我知道它是url。有办法得到这类文件吗？我知道你可以为它设定一些安全规则。

(注意:禁用了目录列表，我保存了这些文件。)

谢谢你的回复！

Answer 1

你的问题范围很广。我试着给你指点。如果你能更清楚地说明你的问题，我可以给你一些更具体的信息。

1. 从来没有，从来没有信任用户的输入。必须验证应用程序中可以从外部操作的所有内容。
2. 从不将密码以纯文本形式存储在数据库中。只存储散列(用盐)。计算用户提供的密码的哈希值，并比较哈希数。
3. 当太多登录尝试出错时，锁定一个帐户。永远不要允许无限的重试。
4. 当使用产品或框架时，保持在这些产品的邮件列表的顶端，识别安全问题。当基础框架有安全漏洞时，请准备好升级计划。
5. 在使用数据库时，不要允许每个人都完全访问数据库(即使使用存储过程限制对数据库的访问)。如果某人只需要读取某些数据，请不要使用也可以修改数据的SQL-帐户。
6. 关于你的问题：“有没有一种方法可以访问服务器上不暴露在外部的内容。例如，我有一个页面将一些重要的记录插入到我的数据库中，只有我知道它是url。有没有办法获取这类文件?我知道你可以为它设置一些安全规则。” 您可能会认为，有人不能访问您的网页，仅仅是因为他们不知道网址。这是通过默默无闻的实现的安全，从长远来看永远不会起作用。Google索引爬行器将简单地尝试遍历整个站点，并索引它能够访问的每一个页面。如果有包含敏感信息的页面，则添加身份验证和授权机制。

Answer 2

对于XSS和SQL注入:不要逐字输出或执行用户提交的内容。

Answer 3

• 尽可能早地验证所有内容。
• 不要从原始用户输入-使用参数构建SQL。
• HTML-编码所有输出。