Validation importante lors de la requête/réponse HTTP

Question

Quelles sont les validations/traitements importants qui peuvent être effectués lors de la requête/réponse http pour protéger l'application Web contre les vulnérabilités telles que la contrefaçon de requêtes cross site et d'autres attaques de sécurité?

Answer 1

Il ya des tonnes de livres sur le sujet qui se résument essentiellement à garbage in, garbage out. Les choses à considérer:

1. Valider toutes les entrées pour le balisage malveillant
2. cordes Escape avant d'aller dans un système de traitement comme un serveur SQL
3. Ne laissez aucun vecteur pour le serveur ou l'injection de code côté client eval() surutilisation
4. sessions liées à des adresses IP pour attraper session hijacking
5. SSL si les utilisateurs souhaités et sont conscients des risques
6. les tentatives de limites sur les mots de passe, et ne indir ectement exposer des informations à savoir « Nous avons votre nom d'utilisateur, mais le mot de passe est incorrect »
7. Utiliser signé les cookies
8. Uniquement les sources de tiers de confiance et vérifiables
9. Utilisez « Je suis humain » vérification comme un Captcha
10. Soyez conscient des araignées qui rampent à travers votre site

La liste se poursuit et, et pour chaque nouvelle technologie, vous obtenez plus de choses à considérer. Bottom line, ont une attitude de sécurité qui ressemble à des choses comme un attaquant. Comment feriez-vous votre propre site? Si vous ne pouvez pas répondre à cette question, vous avez besoin de l'aide de quelqu'un qui peut ou qui lit des livres.