使用Tipps编写更安全的Web应用程序

这篇帖子收集了一些可以极大地提高你的安全性的快速小东西。如果更多的开发人员了解其中的一些资源和提示，我们会有一个更安全的网站。

听说过世界卫生组织的手术安全检查表吗？在他们的研究中，这份清单将患者的发病率降低了近50%1。这一有效性也将适用于WebSecurity。

您会忘记或甚至不知道某些漏洞。我推荐OWASP小抄项目。这个项目的用处是令人难以置信的。对于我自己的一个Web应用程序，我忘了安装CSRF保护，但在Cheatsheet上看到了它们。

或者你至少应该假装是这样。永远不要相信来自用户的任何输入。把他们想象成黑客。

你能限制你的网络应用程序的输入吗？那就去做吧。越严格越好。

这也解释了一些奇怪的事情，比如：你的应用程序接受1 GB的大JSON文件吗？

考虑到奇怪的输入，以下是可能中断某些应用程序的字符串列表。你可以测试这是否也会破坏你的应用程序。

从非安全的角度来看，这也是一个很好的观点。当有什么不对劲的时候，你应该总是知道。

只有当你知道有什么不对劲的时候，你才能把它修好。我将再次推荐一本关于日志记录的OWASP小抄。

如果您注意到安全事件，请对您的用户敞开心扉。不要试图隐瞒什么。

公开这类事件很重要，可以建立信任。在大多数情况下，法律还要求您通知您的用户(GDPR第34条)。

因此，您尽了最大努力保护您的应用程序。最有可能的是，那里仍然会有漏洞。

向他们发出信号，如果他们没有触犯任何法律，你就不会追捕他们。许多安全研究人员很有可能不会搜索或报告漏洞，因为他们害怕法律报复。

简而言之，它规定了允许安全研究人员测试哪些内容，以及在哪里报告这些测试。

Buggroup(最大的漏洞奖励平台之一)提供了一个创建此类策略的框架，并提供了一篇关于负责任的披露策略的更深入的文章。

它基本上是一个文本文件，说明您可以在哪里以及如何披露安全漏洞。您可以通过官方网站轻松创建。

如果失败，则向您报告漏洞的可能性较低。

如果你没有这些，它就像是一个标志，“这里不允许优秀的黑客。”

如果你想阅读更多关于我们为什么需要更多黑客的信息，这里有一篇很棒的文章。

我们需要更多的黑客，需要更多的人意识到这些陷阱。

还有一些技术可以编写更安全的代码。我从Deogun、Johnsson和Sawano那里听到了关于“通过设计确保安全”这本书的好评。

有网站吗？如果你看一下我的新项目，我会很高兴的。

Haynes，A.B.等人。(2009)“降低全球人口发病率和死亡率的外科安全检查清单”，“新英格兰医学杂志”。马萨诸塞州医学会，360(5)，第491-499页。DOI：10.1056/NEJMsa0810119。↩︎