[問題] 網站安全性checklist?

作者Kenqr (￣▽￣)

看板Web_Design

標題[問題] 網站安全性checklist?

時間Fri Jul 31 10:25:13 2015

現在在做的網站，管理員登入後台後，可以看到一些機密資料。假如想要加強網站的安全性，以免機密資料外洩，不知道各位前輩通常都會做哪些項目，來確保網站的安全性呢？目前有把管理員的登入頁面和一般使用者分離，以及檢查過SQL Injection的問題。 google一下可以找到很多網站安全性checklist，不過動不動就上百項，不知道哪些比較重要，也不可能全部檢查完。假如想要著重在保護機密資料不外洩，有哪些項目會是需要優先處理的呢？ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.34.239.200 ※ 文章網址: https://www.ptt.cc/bbs/Web_Design/M.1438309535.A.366.html

推 LaPass: 把測試站台的網址給朋友玩玩看 07/31 11:40

可是我沒有朋友...(′‧ω‧‵)

→ chang0206: 資料庫加密 07/31 11:57

這點倒是沒想過感謝!

→ Canboo: 資安檢測軟體跑一遍是基本的 07/31 14:44

找到OWASP有這個檢測軟體可以用 https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

推 tw0517tw: 密碼不要明碼 07/31 18:28

→ shter: 也不要完整存密碼轉過的MD5,逆向資料庫已經收集很多了 07/31 21:14

→ oToToT: 密碼先salt再hash 07/31 21:18

密碼是用外部library，看起來是有做這些處理

推 chang0206: 找一下加密、遮罩再外加DB LOG Audit 08/01 11:21

好的

推 asship: OWASP有一份PDF，有漏洞排名也有解法 08/01 11:36

找到這個網頁，應該是一樣的東西？ https://www.owasp.org/index.php/OWASP_Top_Ten_Cheat_Sheet 感謝各位前輩回答! ※ 編輯: Kenqr (123.193.209.142), 08/03/2015 10:48:39