нападения веб-приложения и должны иметь оборонные методы

Ваш вопрос покрывает большой объем. Я попытаюсь дать Вам некоторые подсказки. Если Вы указываете свой вопрос более ясно, я могу дать Вам некоторую более определенную информацию.

1. Никогда не доверяйте вводу данных пользователем. Все, что входит в Ваше приложение, которым можно управлять с внешней стороны, должно быть проверено.
2. Никогда не храните пароли в простом тексте в Вашей базе данных. Снабдите хеш (солью) только. Вычислите хеш на пароль, который дал пользователь, и сравните хеши.
3. Заблокируйте учетную запись каждый раз, когда слишком много попыток входа в систему пошли не так, как надо. Никогда не позволяйте неограниченные повторения.
4. При использовании продукта или платформы, останьтесь сверху mailinglist для тех продуктов и определите проблемы безопасности. Когда Ваша базовая платформа будет иметь ошибку безопасности, имейте план, готовый обновить.
5. Когда использование базы данных не предоставляет всем полный доступ к базе данных (даже при ограничении доступа к базе данных с хранимыми процедурами). Если кто-то только должен считать определенные данные, не используйте учетную запись SQL, которая может также изменить данные.
6. Относительно Вашего вопроса: "Есть ли способ получить доступ к содержанию на сервере, который не сделал выставленный внешней стороне. Например, у меня есть страница, которая вставляет некоторые важные записи на мой дб, и только я знаю, что это - URL. Существует ли способ получить этот вид файлов? Я знаю, что можно установить некоторые правила безопасности по нему".
   Можно думать, что кто-то не может получить доступ странице просто, потому что они не знают URL. Это - безопасность через мрак и никогда не будет работать в долгосрочной перспективе. Индексный паук Google просто попытается обойти Ваш весь сайт и индексировать каждую страницу, к которой он может получить доступ. Если у Вас есть страницы с уязвимой информацией, добавьте механизм аутентификации и авторизации.

Самое важное должно предотвратить грубое принуждение паролей. То простое путем добавления задержки, когда введенный пароль является неправильным.

Для XSS и Внедрения SQL: никогда не произведите или выполните отправленное пользователями содержание дословно.

Проверка!

• Проверьте все как можно раньше.
• Не создавайте SQL из необработанного ввода данных пользователем - параметры использования вместо этого.
• HTML - закодируйте весь вывод.

Мы используем названный инструмент, укрепляют для сканирования нашего программного обеспечения http://www.fortify.com/ (извините коммерческий продукт, но возможно существует больше),

Это ловит ввод данных пользователем, который не проверен, конкатенация строк вместо параметров и многое другое.

Только от попытки этого продукта можно изучить, как программировать безопасный.

Что Вы думаете о поисковых роботах, которые пытаются отправить исходные данные согласно Вашему содержанию? Например, ТАК использует проверку изображения.

Проверку изображения называют КАПЧОЙ. Это препятствует тому, чтобы автоматизированные боты заполнили формы, и помогает проверить, что человек на самом деле отправляет форму. Они обычно используются где угодно, что Вы хотите управлять доступом к форме. Боты спама попытаются заполнить формы контакта для обхода спам-фильтров, таким образом, Вы, возможно, должны будете добавить некоторую защиту на подобных вещах. По большей части злоупотребление формы минимально, но Вы будете видеть его в некоторых случаях.

Что Вы думаете о функции оценки JavaScript?

Это зависит от того, как Вы используете его. Как что-либо еще, не доверяйте вводу данных пользователем. Если Вы собираетесь работать, их вход через оценку () удостоверяются, что это пробежало достойный процесс санитарии сначала. Это вдвойне важно, если Вы храните их вход в базе данных и задерживаете его отображение его, чтобы другие пользователи видели. Это идет для SQL, HTML, а также JavaScript. Если кто-то может получить код JS, выполненный с достаточным знанием о том, как Ваш сайт работает, они могут сделать все виды сумасшедших вещей и подражать пользователю, который зарегистрирован, измените их пароль и т.д.

Существует ли способ получить доступ к содержанию на сервере, который не сделал выставленный внешней стороне?

Как кто-то еще упомянул, это будет безопасностью через мрак и не рекомендуется. Что-либо чувствительные потребности, которые будут помещены позади охранять территории входа в систему. Не полагайтесь на "скрытый URL" один. Если кто-то предполагает Ваш специальный URL, или он заканчивается в файле журнала, к которому Google имеет доступ, Вы никогда не можете знать, удается ли кому-то войти. Поместите некоторую аутентификацию вокруг подобных вещей.