網站開發資安原則

RHOZAN轉錄自TonyQ FB

網站開發基本資安原則：

1. 系統套件安全性問題：若網站有使用第三方平台或外掛，應注意瞭解這些產品、外掛是否已知有漏洞並更新到最新版。風險可能小從網站程式注入跟資料庫隱碼攻擊，大到系統遭侵入都有可能。
2. 資料庫隱碼注入(SQL Injection)：因為讓使用者或從網址輸入的內容直接用於資料庫查詢或操作（如登入時輸入帳號密碼可能會用來查詢帳號存在與否），而未過濾危險字元，使得使用者從中取得資料庫操作權。風險小從無須密碼取得帳號權限、大到刪除資料庫跟取得系統控制權都有可能。
3. 網頁程式碼注入(Cross-site Scripting,XSS)：因為頁面呈現使用者輸入的內容（如留言等等等），並且未過濾網頁語法，而讓使用者有機會透過網頁語法控制、修改頁面內容、進行一些非網站原先預期的操作。如替換聯結等等。風險小從替換聯結、置換頁面內容等無傷大雅情況，大到誘導使用者刷卡、誘使使用者重新輸入密碼以盜取帳號等等等都有可能。
4. 關閉錯誤訊息與系統資訊頁：錯誤訊息常常意外的吐露出許多不必要的資料，如資料庫語法等等等。所以盡可能在正式網站關閉錯誤訊息顯示（但內部仍要做錯誤訊息紀錄與警報，以利即時處理，只是不對一般使用者顯示）。網站系統預設可能會有系統資訊頁，會呈現各種伺服器版本與套件版本等等等，建議關閉以免讓攻擊者能夠透過特定版本的漏洞來進行攻擊。

以上基本的防範原則是瞭解自己所使用、開發的系統，並且明確對於所有來自網路的資料，在輸入時用安全性工具進行資料過濾(filter)，並且在呈現資料時也確實的做好內容管理(escape)。

MICHAEL_給　工程部　這裡有份簡報　提到　MongoDB缺點

NoSQL 大腸花　by yunglin

https://speakerdeck.com/yunglin/nosql-da-chang-hua