|
| |
 |
 |
 |
|
|
|
| 提升網站程式開發安全的6大訣竅 |
提升網站的安全性,有時只要在網站開發過程中多留意,或者多了解一些駭客常用的手法,就能降低網站被駭的機率。底下我們將介紹6種訣竅,常常是網站開發時常見的問題,如能多留意,對於提升網站應用程式的安全性將有所助益。
1.前後、端都要檢查使用者輸入
許多程式開發人員喜歡用JavaScript來檢查使用者輸入的內容,雖然透過正規表達能檢視出一些不正常的語法,然而如果駭客將頁面儲回自己的電腦,或是透過JavaScript語法修改DOM,就能移除掉這些檢查機制。 因此前端做過的檢查工作,丟給後端程式之前,仍必須查驗一遍,千萬不要以為前端做過檢查,就可以放行。
2.過濾使用者輸入內容
目前網站安全最常見的問題,莫過於SQL Injection和XSS攻擊手法,而這兩個攻擊的源頭,都來自於沒有妥善過濾由使用者傳來的資料,除了輸入資料之外,包含cookie、參數都可能成為駭客利用的工具。 這些攻擊手法都包含一些特定字元,像是「'」、「`」、「 "」、「 <」、「 >」、「 %xx」、「\0xx」等,因此在任何使用者可以傳遞字元的地方,都要設下檢查的機制,過濾資料中是否包含這些特殊字元,將特殊字元進行轉化,例如將「'」轉換成「'」或「<」轉換成「<」。
3.妥善處理錯誤訊息
有許多程式開發人員對於錯誤處理不夠細心,導致腳本語法或資料庫發生錯誤時,直接讓錯誤碼呈現在瀏覽器,錯誤資訊對一般的使用者沒什麼意義,但往往會給駭客帶來許多參考價值。
4.檢查上傳內容
由於Web 2.0帶來的強調分享機制,因此也越來越多網站允許使用者上傳資料。然而駭客有可能在上傳的檔名上動手腳,如果不加以檢查,就有可能執行對網站有所危害的腳本程式。
5.敏感資訊要妥善處理
有些檔案該刪就刪,例如一些應用程式的安裝腳本不要留在系統上,帳號等相關的敏感資料一定要設在防止搜尋引擎索引、快取的資料夾,或設定相關的防索引語法。
6.將密碼以編碼方式儲進資料庫
密碼不要採用明碼的方式儲進資料庫,透過像是md5的方式進行編碼,讓敏感資訊可以受到更好的保障。 |
|
|
|
|
|
|
|
|
