Re: [問題] 網頁安全性問題
※ 引述《forkome (初心者)》之銘言:
: 不知安全性問題適不適合PO在這討論
: 但以下這些問題都與網頁相關
: 小弟所維護的資料比較具保密性
: 加上網頁製作年資尚淺,遇到些問題沒有判斷能力
: 所以想跟大家請教一下觀念性問題
: 1.圖型驗証碼的功能,每頁都加好嗎?
: 現在網頁註冊頁面都有做圖型驗証
: 據小弟所了解這樣做,可以防止有心人士寫程式存取網頁上的資源
: 因為老板要求我只要有輸入畫面就要加上圖型驗証碼,增加安全性
: 聽起來蠻有道理的,但目前只想到可能會讓使用者多輸入一樣東西造成不便
: 例如,我今天只是做一個資料查詢功能,加上圖型驗証碼適合嗎?
驗證碼功能是防止使用者在極短時間內重覆送出需求
本人覺得跟安全性沒有關係,而且圖形辨識的function網路上也找的到
只是準確度的差別而已
如果您今天送出的查詢會讓資料庫產生負擔,
不想讓使用者在短時間內送出N筆的請求
除了驗證碼要添加外,應該還要寫一些緩衝秒數的功能在程式端
但反之效能很好,添加驗證碼只是擾民,管理員自己以為很屌罷了
等到自己天天在用,還會輸入錯,就會覺得這功能真是他媽的煩
: 2.AJAX的使用安全性
: 目前小弟所知道JSONP可以做跨網域執行動作
: 故若Ajax的動作裡有Insert的動作,從JavaScript可能會被人解讀出來
: 造成對方可以不透過網頁功能達成Insert
: 若我使用一般的Ajax的方式是否就沒有安全性上的問題?
: 自己是有試過以下語句是行不通,但不知是否有可能透過自製的瀏覽器避開?
: $.post("http://xxx.xx.xx/test.php",{func:"getNameAndTime"},
這個我先不論是不是AJAX
只要是SERVER端接收參數(POST、GET),都必須過濾值
基於安全的立場,在程式編寫上都要把使用者視為來者不善
該限制接收長度就寫死、該數值就數值
不要把驗證的部份放到client端的js中處理
至於穿牆的問題,網路上有很多方式可以參考...請自行google嚕
: 3.網頁HTML註解會造成安全性?
: 公司有使用一套可以偵測網站是否有漏洞的軟體
: 結果偵測出警告「網頁裡有註解」
: 故之後的決策就是網頁裡不能有註解
: 我想到的只有可能註解會造成原始碼被人解讀出程式寫法
: 但想不出來有任何的直接攻擊或影響行為??
軟體是死的,是一種輔助工具
要先去瞭解為什麼「網頁裡有註解」在這套軟體中被標出來
基本在大系統中,註解是必要的(程式),不要註解只是加重交接障礙而已
所以去該軟體官網查一下每一項條件是防範什麼攻擊、基於什麼原因
只要瞭解了,我想就算整個網頁都是註解也是能說服老闆為什麼
: 以上,不知有沒有人可以幫小弟解惑,先謝了
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 114.32.168.116
推
11/20 12:04, , 1F
11/20 12:04, 1F
推
11/20 13:28, , 2F
11/20 13:28, 2F
推
11/20 14:41, , 3F
11/20 14:41, 3F
→
11/20 18:58, , 4F
11/20 18:58, 4F
討論串 (同標題文章)