我正在寻找简单而有效的步骤，以使Web应用程序更安全。

我们对安全Web应用程序的最重要建议是什么，它们将停止什么样的攻击？

解决方案

回答

• 逃脱用户提供的内容以避免XSS攻击。
• 使用参数化的SQL或者存储过程来避免SQL注入攻击。
• 以非特权帐户运行Web服务器，以最大程度地减少对OS的攻击。
• 再次将Web服务器目录设置为非特权帐户，以最大程度地减少对OS的攻击。
• 在SQL Server上设置非特权帐户，并将其用于应用程序，以最大程度地减少对数据库的攻击。

有关更深入的信息，始终有《 OWASP指南，用于构建安全的Web应用程序和Web服务》。

回答

Microsoft Technet上有一篇出色的文章：

设计，构建和部署更安全的Web应用程序的十个技巧

以下是该文章中回答的提示的主题：

• 从不直接信任用户输入
• 服务不应具有系统访问权限或者管理员访问权限
• 遵循SQL Server最佳做法
• 保护资产
• 包括审核，日志记录和报告功能
• 分析源代码
• 深入利用防御部署组件
• 关闭最终用户的深度错误消息
• 了解安全管理的十大法则
• 制定安全事件响应计划

回答

不信任用户输入。

验证预期的数据类型和格式对于使用SQL注入和跨站点脚本(XSS)攻击至关重要。

回答

在SSL应用程序的cookie上设置安全标志。否则，总会存在比破坏加密货币更容易实施的劫持攻击。这是CVE-2002-1152的本质。

回答

我的一些最爱：

• 过滤输入，转义输出以帮助防御XSS或者SQL注入攻击
• 使用准备好的语句进行数据库查询(SQL注入攻击)
• 禁用服务器上未使用的用户帐户，以防止暴力密码攻击
• 从HTTP标头中删除Apache版本信息(ServerSignature = Off，ServerTokens = ProductOnly)
• 在chroot监狱中运行Web服务器以限制损坏(如果受到威胁)

回答

OWASP是朋友。他们的Web应用程序安全漏洞的十大列表包括每个问题的描述以及如何防御。该站点是学习更多有关Web应用程序安全性的好资源，并且还拥有大量的工具和测试技术。