了解了xss攻擊、sql注入漏洞之後,感到驚慌,失去了編寫一個網站的勇氣怎麼辦?

最近在學web開發,又正好看了烏雲網的各種漏洞的資料。覺得自己隨便寫行腳本代碼都是噼里啪啦的一堆漏洞。


一般是先實現功能,穩定了之後再增加安全處理。

安全處理集中做效果高一些


我來告訴你真相,真相是:你的網站根本就引不起黑客的興趣,因為網站太多了,黑客就像一條鯨魚,而每個網站都是一個水分子,雖然鯨魚很大又很多,並且還天天在海里游,但碰到你這個水分子的幾率還是非常小非常小的。

並且,現在伺服器供應商都提供了沙盒模式以及最初級的安全保護,可以抵禦大部分小學生(沒錯,普通的小學生看過幾集傻瓜式黑客教程就能黑你的網站)攻擊了,所以也沒那麼不安全。

退一步說,就算是網站被黑了,其實也沒什麼大不了的,黑客很快就發現這毫無意義,也沒意思,首先沒有成就感,因為你的網站訪問者不多,其次也沒什麼意思,因為攻破太容易,何況你這麼簡單的網站恢復起來也容易的很,所以就更沒有成就感。

我曾經混過一個很小眾的網站,黑客早就脫庫獲得超管許可權了,每天把網站弄的亂七八糟,然後過了一段,黑客自己就覺得沒意思了,因為經常上這網站的每天不超過十個人,大家都漠然視之,後來黑客還發一些帖子,有時挑釁,有時秀優越,也是沒人搭理,連個回帖都沒有,然後就沒有然後了,我覺得在整個事件中,這個黑客才是最值得同情的,想必會給他的黑客事業造成心理陰影吧。


了解攻擊原理 做針對性的防範 不安全的隱患大多來自用戶輸入 最好能做到只取自己需要的格式

對sql注入可以使用資料庫的prepare statement;對xss要開啟模板的自動escape;xsrf各種框架基本都會提供xsrf token防範支持;cookie不要存取敏感信息,萬不得已需要存敏感信息,最好也通過hmac簽名認證。。。。最好要記住,後台一定要驗證用戶輸入變數,包括http頭,如referer等。

可以關注一下漏洞掃描工具的原理,如果你懂python,可以看看我之前寫的簡單漏掃代碼,Skycrab/leakScan · GitHub


學習編程的時候就應該了解防禦性編程的概念,這也怪部分國內的書太爛。

對於所有輸入參數,有格式的拿正則驗證,沒有的根據需要進行轉義。

sql一律強行使用預編譯的函數。就完了唄。

實在心虛的話拿自動化工具檢測一下。


哎呀lz不想學習直說嘛


我當初也和你想得一樣啊!!!後來被逼的,有個項目必須做,而且是要給大家服務。然後就惡補相關安全知識,再後來給別人找漏洞或者『審計代碼』了。。。


sql注入的話,參數化你的查詢語句不就行了?xss最基本的是過濾js tag。肯定還不夠,你上網找找解決方案。這種常見問題肯定有解決方案。常見的坑就那麼多,都踩踩。軟體及時更新。注意安全新聞。多跟樓上大牛交流。


人總是在不斷進步的。


這是不自信的表現。雖然你可能覺得自己是新手,覺得自己寫的代碼會有很多漏洞。但是有了這種想法你沒信心了,而不是想著如何提高的編程水平,提升自己的安全意識,寫出更安全更有效的代碼?那你可能不適合做這方面的事。因為既然你開始做一件事,應該是對他感興趣,既然感興趣了自然就會研究他,研究的多了就會越來越厲害,越來越有信心。但是你就簡單的看了幾個漏洞就覺得沒勇氣了,我覺得你還是好好想想,可能在其他方向上你會更感興趣!


買waf


Done is better than perfect. -- Mark Zuckerberg


應該是了解了之後寫程序更有勇氣,你想想,你做的產品有兩個用戶,一個真正用戶,一個破壞者.你在滿足用戶的同時還要鬥智斗勇,想想都激動嘛..


無知。敬畏。隨心所欲


雖然我知道不作死就不會死.


你寫完上線,幫你免費做個安全測試。


做java開發的逗逼


就SQL.注入,xss,等基本的web。過濾掉大部分的關鍵字,再找幾個在線的安全掃描網站掃掃,看看自己是否過濾全整了,最後再在伺服器上裝條安全狗,因能防住大部分的入侵了


能解決的問題都不是問題。不就是尖角括弧引起的xss,不就是sql拼接引起的注入。改就行


看一下白帽子安全這本書


裝個安全狗,在輸入的地方留個心眼,一般問題不大。


推薦閱讀:

網路安全。什麼才是安全,怎樣才算是在安全領域頗有成就。?
QQ最近總是提示QQ安全中心為您攔截異常2次,您的帳號疑似被盜,正處於保護模式中,怎麼處理?
2015 年有哪些重大的網路安全事件?
如何評價黑暗幽靈木馬?
是否開源軟體比閉源軟體更安全?

TAG:網路安全 | 網路攻擊 |