在银行网站上填写安全表格时,我一直想知道他们如何知道他们的应用程序是完全安全的。当然,您知道您使用的是 SSL,您的帐户“应该”是安全的,并且希望安全问题、帐户限制、超时等应该能保证您的帐户安全。但是测试这个的最好方法是什么?什么决定了您的应用程序的“安全”程度?如果您的代码中某处存在错误怎么办,那么无论您采取多少保护措施都没有关系。
我最近为一个网站创建了一个登录名,该登录名将在 15 分钟后自动注销用户,将在 3 次尝试失败后锁定他们的帐户,包含一个安全问题,并在 SSL 上运行。但我需要知道是什么决定了程序的安全性。
感谢您的帮助!
大都会
编辑
主要问题是。 “测试 PHP 安全性的最佳方法是什么”。是否有措施确保这一点。肯定有。
最佳答案
Web应用的安全验证有一个标准:OWASP ASVS .
它规定了一份 list ,其中包含您必须具备的所有流程,以及您在获得一定级别的安全性之前必须验证的所有事实。我建议你去阅读详细要求以了解涉及的内容。 ASVS 要求的一个示例是“验证是否定义了肯定的验证模式并将其应用于所有输入。”
要求分为 4 个级别:
- 级别 1 适用于小型低风险应用
- 2 级适用于典型的商业应用
- 级别 3 适用于高可靠性应用
- 4 级适用于生命攸关的应用
另一个可能要遵守的标准是 Microsoft Security Development Lifecycle (SDL) .这是他们用于自己产品的过程。 SDL 更面向过程,也更通用。
关于php - 可以采取哪些步骤来确保 PHP 应用程序的安全性?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3709744/