Quelles sont les validations/traitements importants qui peuvent être effectués lors de la requête/réponse http pour protéger l'application Web contre les vulnérabilités telles que la contrefaçon de requêtes cross site et d'autres attaques de sécurité?Validation importante lors de la requête/réponse HTTP
Répondre
Il ya des tonnes de livres sur le sujet qui se résument essentiellement à garbage in, garbage out. Les choses à considérer:
- Valider toutes les entrées pour le balisage malveillant
- cordes Escape avant d'aller dans un système de traitement comme un serveur SQL
- Ne laissez aucun vecteur pour le serveur ou l'injection de code côté client
eval()
surutilisation - sessions liées à des adresses IP pour attraper session hijacking
- SSL si les utilisateurs souhaités et sont conscients des risques
- les tentatives de limites sur les mots de passe, et ne indir ectement exposer des informations à savoir « Nous avons votre nom d'utilisateur, mais le mot de passe est incorrect »
- Utiliser signé les cookies
- Uniquement les sources de tiers de confiance et vérifiables
- Utilisez « Je suis humain » vérification comme un Captcha
- Soyez conscient des araignées qui rampent à travers votre site
La liste se poursuit et, et pour chaque nouvelle technologie, vous obtenez plus de choses à considérer. Bottom line, ont une attitude de sécurité qui ressemble à des choses comme un attaquant. Comment feriez-vous votre propre site? Si vous ne pouvez pas répondre à cette question, vous avez besoin de l'aide de quelqu'un qui peut ou qui lit des livres.
Merci Aiden Bell pour vos commentaires. En fait, nous prévoyons d'écrire une seule fonction pour traiter toute demande Web dans notre application Web. Nous essayons donc de découvrir toutes les vulnérabilités de sécurité possibles et d'essayer de les arrêter dans cette fonction. Nous avons déjà pris en charge les attaques par injection SQL, les attaques par script intersite. Je voulais juste savoir quels sont les autres types d'attaques de sécurité les plus importants qui peuvent être pris en charge dans cette fonction – user377435
- 1. Http Exception générée lors de la validation ViewState
- 2. Webservice WCF: HTTP/1.1 400 Demande incorrecte lors de l'envoi d'une entrée importante
- 3. Utilitaires de validation HTTP?
- 4. Validation du serveur http
- 5. La certification la plus importante dans WPF?
- 6. Validation des requêtes http iPhone
- 7. L'autorisation a échoué lors de la validation
- 8. IDataErrorInfo: Validation lors de la soumission de la page
- 9. erreurs de validation lors de la validation d'une page qui a un objet flash
- 10. Erreur lors de la validation du validateur de courrier électronique
- 11. Problème lors de la définition du contrôle de validation après la validation
- 12. Est-ce que la séquence de nœuds xmls est importante?
- 13. La directive SVNAutoversioning dans la subversion apache est-elle importante?
- 14. Importante quantité de création d'objets en C++
- 15. La caractéristique la plus importante dans le honeypot VoIP aujourd'hui
- 16. La documentation la plus importante dans le Iphone Dev Center
- 17. Problème lors de l'obtention de la réponse Http en chrome
- 18. Problème lors de l'utilisation de rangelength pour la validation jQuery
- 19. exceptions Emballage PropertyEdtior lors de la validation de printemps
- 20. erreur Cayenne null pointeur lors de la tentative de validation
- 21. Validation lors du changement de formatage de la source?
- 22. Problème lors de la désactivation du regroupement HTTP dans AXIS2
- 23. Plugin de validation jQuery: Comment appeler une fonction lors de la validation d'un champ
- 24. Android: UnknownHostException lors de l'envoi HTTP POST
- 25. Erreurs supprimées lors de la validation avec valide? dans Rails
- 26. Exclure des éléments lors de la validation d'un formulaire Zend
- 27. Erreur lors de la validation du fichier XML avec XSD
- 28. Problème lors de la validation du courrier électronique
- 29. svn commentaires ajoutés dans le fichier lors de la validation?
- 30. Subversion: comment supprimer une propriété lors de la validation
Veuillez essayer de rendre votre résumé plus succinct. –
bonne question mais il faut un peu moins dans le sujet et plus dans le corps – jcollum
Merci pour vos commentaires, ils sont vraiment utiles car ceci est mon premier poste en débordement de pile :) – user377435