Slik unngår du at Web Coding Sikkerhetsproblemer

August 24

Scripting utviklingsfeil ofte la inntrengere få uautorisert tilgang til nettsteder. De går inn gjennom ugyldige URL økt-IDer og ved å avskjære bruker innganger, hvor klienten cookie økter kan leses. Nettleser-henrettet utenlandske skript komponenter som sendes innen en pålitelig kilde er en annen måte angripere gjøre god bruk av web koding sårbarheter. Å kutte ned på sårbarheter, bruk en strategisk tilnærming som implementerer en rekke metoder.

Bruksanvisning

1 Avvis en link eller verts hvis HTTP henvisningsfeltet i den bruker innsendt skjema eller lenke ikke samsvarer med kildeadressen.

2 Begrense den maksimale lengden på bruker levert strenger. Avkorte svar som overstiger den maksimale responsen lengde. Sjekk strenger både på klientsiden og serversiden.

3 Forby <OBJECT>, <embed> og <script> innhold skal leveres. Fjern alle "getURL ()" felt som inneholder referanser utenfor det gjeldende programmet. Bruk "HTTP POST" i stedet for "HTTP GET" for å hindre angripere fra å sende webadresser med dårlig kode.

4 Sjekk og filtrere vedvarende informasjonskapsler før du legger dem inn i HTML-dokumenter; ellers vedvarende informasjonskapsler, som lagrer brukerinformasjon, kan lett endres av angripere.

5 Kontroll og forkorte timeout økten ID, slik at en angriper ikke vil ha tid til å oppdage CSS feil. På denne måten, må en gyldig session ID brukes for re-entry. Økten ID bør være begrenset til starten eller hjemme side på nettstedet. En automatisk omadressering til start eller hjemmesiden bør resultere fra en angriper prøver å gå inn gjennom en annen side.

6 Håndtak spesialtegn annerledes ved å kode utgangen. For eksempel, dersom en klient data underkastelse er komplisert, å kode de resultatene som sendes tilbake til klienten. Begynnelsen HTML tag "<" kan være kodet som «& lt," for eksempel. Dette synes som begynner tag til brukeren, ikke til klientprogrammet.

7 Bruk positive innspill filtrering. Redusere risikoen for blant annet tegn som kan utnyttes ved konsekvent å filtrere fra et sett med tegn som er kjent for å være trygg. Ta et skjemafelt for en brukers alder, for eksempel. Tegnsettet bør begrenses til tall fra 0 til 9. Andre spesielle tegn eller bokstaver bør ikke bli akseptert. Sifrene representerer en trygg sett med tall i positiv filtrering for skjemafeltet.

8 Bruk Utgang filtrering for å sende resultatene data for spesialtegn fra server-side søknaden før du sender den til klientsiden nettleser. Innhold som ikke ble filtrert kan lagres av system prosesser, eller andre applikasjoner kan ha blitt lagt til av en bruker. Dette gjelder spesielt hvis data ble hentet fra en database eller et lagringsformat.

Hint

Vær forsiktig når du bruker Output filtrering. Prematur filtrering av HTML "<" mindre enn og ">" større enn tags kan gjøre klientdokumenter uleselig. Denne metoden fungerer best når den spesialtegnet filtrering er begrenset til bruker levert data som er lagret i databasen.