웹 사이트 보안 테스트에 대 한 개인적인 통찰력

소위 시스템 보안 전체 네트워크 운영 체제를 참조 하며 네트워크 하드웨어 플랫폼은 안정적이 고 신뢰할 수 있는. 현재, 나는 선택에서 그것은 microsfot Windows NT 또는 다른 상용 유닉스 운영 체제, 개발자의 뒷문을 절대 보안 운영 시스템은 무서 워 요.

따라서, 우리는 다음과 같은 결론을 그릴 수 있습니다: 없습니다 완전히 안전한 운영 체제. 다른 사용자가 세부 사항에 그들의 네트워크를 분석 하 고 높은 보안 운영 체제를 선택 해야 합니다. 따라서, 가장 신뢰할 수 있는 운영 체제와 하드웨어 플랫폼, 운영 체제 보안 구성 선택에 뿐만 아니라. 또한, 로그인 프로세스의 인증 (특히 도달 하기 전에 서버 호스트) 강화 해야 뒤에 연산자의 능력을 작동 하 고 가장 작은 가능한 정도로 완성을 제한에 대 한 엄격한 제한이 사용자의 적법성을 보장 하기 위해.

일하고 있다 웹 사이트 테스트에 위한 3. 저는 개인적으로 완전 한 웹 보안 테스트 생각을 시작할 수 있습니다 배포 및 인프라, 입력된 유효성 검사, 인증, 권한 부여, 구성 관리, 중요 한 데이터, 세션 관리, 암호화, 매개 변수 조작, 예외 관리, 감사 및 로깅.

데이터 암호화: 데이터 암호화 하 여 사용자 로그인 암호 정보 사용자 신용 카드 정보 등 데이터 전송 수행 하기 위해 필터링 해야. 다른 작업 데이터베이스에 저장, 해독 및 클라이언트의 브라우저 또는 사용자의 이메일을 보내는 등 할 필요가 있다. 현재 암호화 알고리즘을 더 복잡 한, 하지만 일반 데이터 암호화 프로세스 가역 즉, 암호화 될 수 있습니다, 그리고 및 암호를 해독할 수 있어야!

사용자 이름 및 암호를 일치 하는 불법 사용자가 로그인 하지 못하도록 확인 합니다 그래서 로그온: 일반 응용 프로그램 사이트 로그인 또는 등록 메서드를 사용 합니다. 방문 시험 여부 입력 한 암호는 대/소문자 구분, 길이 조건, 페이지 또는 파일 액세스/다운로드에 로그인 해야 로그인 시도의 최대 수를 고려 해야 합니다.

제한: 웹 응용 프로그램 시스템 해야 제한, 사용자가 아무것도 하지 않습니다 오랜 동안에 때 그들의 기능을 사용 하려면 로그인 해야.

SSL: 점점 더 많은 사이트 되 라우팅됩니다 SSL 보안 프로토콜을 사용 하 여. SSL은 약어 (Secure Sockets Layer) 보안 소켓 Lauer에 대 한 보안 네트워크 데이터 전송 프로토콜 넷스케이프를 처음 게시 하. SSL은 공개 키/개인 키를 사용 하는 암호화 기술입니다. (RSA), HTTP 계층 및 TCP 계층 사이 위치 해 전달 하는 정보의 보안을 보장 하기 위해 사용자와 서버 간의 암호화 된 통신을 설정. SSL은 공개 키 및 개인 키를 기반으로 모든 사용자는 데이터를 암호화 하는 공개 키를 얻을 수 있습니다 하지만 암호 해독 데이터는 해당 개인 키를 전달 해야 합니다. SSL 사이트를를 입력 한 후, 브라우저에서 경고 메시지를 볼 수 하 고 주소 표시줄에 HTTP, HTTPS 된다 시간 링크 제한 등 관련된 보안 보호의 시리즈 뿐만 아니라 이러한 기능을 확인 해야 하는 SSL 테스트 할 때.

서버 스크립트 언어: 스크립팅 언어는 일반적인 보안 위험. 각 언어의 내용은 다르다. 일부 스크립트는 루트 디렉터리에 대 한 액세스를 허용합니다. 다른 메일 서버에 대 한 액세스를 허용 하지만 숙련 된 해커 자신에 게 그들의 서버 사용자 이름 및 암호를 보낼 수 있습니다. 스크립팅 언어는 사이트를 사용 하 여 밖으로 찾아서 공부 언어의 결함. 또한 배치 하 고 서버 쪽 스크립트 편집 권한 부여에 필요 하지 않은 문제를 테스트 해야 합니다. 이 작업을 수행 하는 가장 좋은 방법은 사이트에서 사용 되는 스크립팅 언어 보안을 설명 하는 뉴스 그룹에 가입 하는 것입니다.

참고: 해커 들이 보안 취약점 기능 공격 사이트의 루트 디렉터리에 액세스할 수 있도록 스크립트를 사용 합니다. 스크립팅 코드 (루트 디렉터리에 대 한 액세스를 허용 하는 기능)를 포함 하는이 사이트는 잠재적으로 보안 위험 수.