Security 了解网络安全的步骤
我已经用Security 了解网络安全的步骤,security,Security,我已经用C++,Matlab,以及类似的科学语言编写代码很长时间了,但最近我想进入web编程领域。我自学了HTML和CSS,还涉猎了Javascript、PHP和mySQL。我真的很想开始制作更高级、用户驱动的网站(如果这有意义的话——最终是类似于和功能上的网站),但我担心我对互联网安全和漏洞的了解不够,无法确保我所做的编程决策是安全的 您有什么建议或信息可以提供给我,这将帮助我对我产生的代码的安全性充满信心 如果这一切都没有意义,或者你想澄清一下,只要问一下。 < P>查看微软出版社的Mich
C++
,Matlab
,以及类似的科学语言编写代码很长时间了,但最近我想进入web编程领域。我自学了HTML
和CSS
,还涉猎了Javascript
、PHP
和mySQL
。我真的很想开始制作更高级、用户驱动的网站(如果这有意义的话——最终是类似于和功能上的网站),但我担心我对互联网安全和漏洞的了解不够,无法确保我所做的编程决策是安全的
您有什么建议或信息可以提供给我,这将帮助我对我产生的代码的安全性充满信心
如果这一切都没有意义,或者你想澄清一下,只要问一下。
< P>查看微软出版社的Michael Howard和David LeBlanc写的安全代码。它有很多关于安全编码的好信息,也有一两章专门介绍web编程。这是一本微软的书,但大多数想法都可以翻译成你所使用的任何语言 链接到基本上就是这样。我要说的是,从调查开始,然后。这些应该让您了解需要注意的事情,并让您进入正确的思维模式(永远不要相信用户输入是您认为的或“应该”的)您需要了解SQL注入攻击、跨站点脚本攻击、,对于如何管理系统的输入,你必须培养一种健康的偏执狂。这包括学习如何清理用户输入,如何正确使用会话在页面间保存状态,以及如何以及何时使用SSL 您还需要了解FTP帐户黑客行为的流行、共享托管环境的危险以及web服务器被利用的一般方式 有几本书专门介绍了PHP/MySQL安全问题,您可能会发现它们很有用。我推荐Mark Dowd、John McDonald和Justin Schuh。它很大,但值得一试。如上所述,输入(和输出)验证非常重要,身份管理也非常重要。但是,编写一个安全的web应用程序肯定还有更多的内容 从熟悉OWASP的免费工具和资源开始,订阅他们的新闻提要 获得一些网络安全方面的基础培训:我推荐斯坦福大学的在线高级软件安全课程,至少参加基础课程,如果你需要开始学习的话,这是值得的
查看SAN Institute的培训计划和其他资源,查看他们的漏洞电子邮件列表和其他电子邮件列表。SANS提供了一门关于安全PHP编程的课程。其他提交的答案提供了很好的建议,但要将其分解为一个规则系统:
只要尽你最大的努力记住这些,然后,如果你想到任何更多的偏执手段来影响你的网站的安全性,不要犹豫,变得更偏执。并反馈给社区;在这方面我们都需要帮助。基本上不是这样的!在安全问题上涉及的东西太多了。举例来说,XSRF与用户输入验证和用户身份验证无关……XSRF正是拦截用户身份的例子。