2014/03/10 08:00 ~ 2014/05/02 12:00 102(2)閱讀達人競賽 學生學習發展組

主辦單位
學生學習發展組
名稱
102(2)閱讀達人競賽
主題
科技類
時間
2014/03/10 08:00 ~ 2014/05/02 12:00
時數
1.0 小時
心得分享
書名:建立無懈可擊Web系統
作者:楊雲
出版社:上奇資訊股份有限公司
出版年:2013
心得:
目前建構網站系統語言:ASP.NET,JSP,PHP,安全和程設方式是關鍵,Web應用程式的安全漏洞越來越大 ,網路犯罪和駭客也都是愛找這些漏洞鑽, 所以我們要了解應用程式安全概念.
書中有15個章節 ,其中我對第五章讓ASP.NET/JSP與資料庫安全通訊有點興趣, 本節是探討攻擊者使用SQL植入攻擊的原理並提出防範策略, SQL植入式Web應程漏洞 將惡意資料傳送給應程, 欺騙應程在伺服器執行惡意的SQL指令, 他們能自由使用. 刪除資料, 甚至控制伺服器.
防範方法:
1.過濾or逸出危險字元( ' - ' , ' ; '字元視為文字 而不是字串的結束)
2.使用SalParameter類別(透過強制型態和長度檢查限制使用者輸入資料)
3.用正則運算限制輸入(用類別Regex來限制輸入)
4.使用最小許可權(缺乏許可權, 破壞能降到最低)
5.拒絕已知的攻擊簽名(過濾危險的SQL指令關鍵字:drop, delete, insert, update...)
6.加密處理(使用者登入名稱, 密碼等資料加密後儲存在資料庫)
7.自伺服器上處理錯誤(可避免攻擊者收集資訊)
另外 ,加密敏感性資料:即使兩個使用者密碼相同 ,但Salt值不同, 還是可行 ,而且能阻止攻擊者利用字典攻擊, 就算要用成本也高得嚇人.
p.s操作前要建立一個空表, 包含使用者名稱. 密碼. 密文 .Salt.