【发布时间】:2010-06-25 01:25:31
【问题描述】:
我几乎完成了一个 Web 应用程序。我需要在它发布之前对其进行测试并找出安全问题。是否有任何方法/指南来进行这种测试?或者是否有任何工具可以帮助我检查我的应用程序是否已准备好上线?谢谢你。
【问题讨论】:
【发布时间】:2010-06-25 01:25:31
【问题描述】:
我会说:
- 检查即使在严格模式下也没有警告或错误(错误报告)。
- 如果您存储任何敏感数据(如密码、信用卡等),请确保使用非标准算法对其进行加密。使用 SSL 并尝试以某种方式偏执。
- 通过操作和主机为您的数据库设置特定的访问权限,不要使用 root 帐户。
- 执行详尽的测试(尽可能使用单元测试)。让尽可能多的人参与进来。
- 在主要浏览器(Firefox、Chrome、Opera、Safari、IE)下测试它,如果有时间在其他浏览器下测试。
- 根据标准 (W3C) 验证您的所有 HTML/CSS。 (推荐)
- 取决于您使用的平台,有一些分析器可以帮助您识别代码中的瓶颈。 (可以在以后的阶段完成)。
- 为您的 Web 服务器/脚本语言调整设置。
- 确保它对搜索引擎友好。
- 在线祈祷一次 :)
这不是一个完整的列表,因为它取决于:
- 您正在使用哪种语言/平台/Web 服务器。
- 您开发了什么样的应用程序(社交、财务、管理等)
- 谁将使用该应用程序(整个世界、特定公司、您的家人或只是您)。
- 你打算卖掉它吗?那么你必须至少拥有前面的大部分要点。
- 您的应用程序是否使用了非常敏感的信息(如信用卡)?如果是这样,你应该花钱请一些专业人士(公司?)来检查你的代码、设置和方法。
这只是我的看法,请按原样处理。我也想听听其他人的建议。
祝你好运
【讨论】:
除了已经提出的建议外,根据应用程序的类型,您可以使用漏洞扫描程序来扫描您的应用程序是否存在可能导致黑客进入的漏洞。
市面上有很多不错的扫描仪,但请注意,使用它们时,结果可能是 100%,也可能不是 100%。很难说。
有关商业和免费扫描仪的列表,请参阅:http://projects.webappsec.org/Web-Application-Security-Scanner-List
有关扫描仪的更多信息:http://en.wikipedia.org/wiki/Web_Application_Security_Scanner
祝你好运。
【讨论】:
在这里您可以找到一个实用的清单,以便在启动网站之前使用
http://launchlist.net/
这里列出了您忘记测试的所有内容
http://www.thebraidytester.com/downloads/YouAreNotDoneYet.pdf
【讨论】: