我的网络应用程序安全计划：有漏洞吗？

Question

我为一个客户开发了一个 CodeIgniter 项目跟踪应用程序，该应用程序位于一个公共 URL 上，但被私下使用。它包含一个简单的 REST API，专门用于 Dashboard 小部件和 Cocoa 菜单栏应用程序，尽管它会在以后增长。

最初为小型团队设计，该应用将在（大型）公司内得到更广泛的使用。我的成长和保护它的计划......

1. 评估流量需求、项目资源使用情况并相应地扩展托管。
2. 完全依赖 HTTPS 并购买不错的 SSL 证书。
3. 要求对 REST API 进行身份验证。
4. 积极监控滥用行为并建立一个（或多个）黑名单。

对于这样的私有/公共应用程序，是否有任何明显的问题需要解决或遵循最佳实践？

Answer 1

这是一个相当广泛的问题。有几个复杂的方面。

SSL 很好；考虑启用CI's CSFR protection

锁定您的服务器。如果不需要，请关闭电子邮件和 ftp 等端口。谷歌教程或根据您的操作系统提出具体问题。

基于表单的身份验证内容的精彩指南：The definitive guide to form-based website authentication

确保您的权限符合您的要求。例如将私人的事情保密。设计授予和撤销访问权限的策略。