Я нахожусь на моей диссертации в мой последний год в университете в настоящее время. Одной из областей, которые мне нужно исследовать, является безопасность - как для веб-сайтов, так и для баз данных. В настоящее время у меня есть разделы на следующие темы:
- Веб-сайт
- Форма безопасности - например, проверка данных. Этот раздел больше посвящен предотвращению ошибок, допущенных легитимными пользователями, а не остановке хакеров, например, сравнивая поле с регулярным выражением и предоставляя им значимую обратную связь о любых ошибках, которые произошли, чтобы не допустить повторения. *
- Ограничения. Например, если значение должно быть истинным или ложным, используйте флажок. Если это может быть одно из нескольких значений, используйте раскрывающийся список или набор переключателей и т. Д. Если значение непредсказуемо, используйте регулярные выражения, чтобы ограничить символы, которые им разрешено вводить, и ограничить длину строки, а иногда и ограничить формат (например, для дат / времени, почтовых индексов и т. Д.).
- Иногда вы можете ограничить права доступа к форме. Это тот случай, когда вы точно знаете, кому (будь то имена людей или группа людей - например, администраторы или сотрудники) понадобится доступ к форме. Ограничение разрешений не позволит представителям общественности получить доступ к форме.
- Символы или строки, которые могут использоваться злонамеренно или приводить к неправильной работе сайта (например, тег скрипта), должны быть отфильтрованы или закодированы в формате HTML.
- Капчевые изображения могут использоваться для предотвращения заполнения и отправки автоматизированными системами формы.
- Существуют некоторые способы загрузки файлов, например, с использованием двойных расширений, которые могут позволить хакерам загружать вредоносные файлы.
- Базы данных (это еще далеко не сделано, но разделы, которые я запланировал, перечислены ниже)
- Операторы SQL против хранимых процедур
- Выдает ошибку, когда одна из переменных содержит определенные символы или группы символов (я не могу вспомнить, что это за символы, но раньше я видела сообщение, брошенное мне назад, где я пыталась ввести html или что-то в текст область).
- SQL-инъекция - и способы ее обхода, с некоторыми примерами.
Есть ли у кого-нибудь какие-либо советы и подсказки о том, куда мне обратиться за приличной, надежной информацией об этих областях или о других областях безопасности, которые я мог бы охватить?
Заранее спасибо.
С уважением,
Richard
PS Я новичок в вопросах безопасности, поэтому, пожалуйста, будьте терпеливы со мной. Если какая-либо информация, которую я изложил, неверна или может быть подразделена, пожалуйста, не стесняйтесь говорить об этом.