חגי אל תתנשא..כולנו יודעים כמה "טוב" אתה.
לפותח האשכול, לא הייתי מסתמך על מה שאנשים פה עונים לך,רוב המידע על אבטחת אפליקציות WEB הוא באנגלית, וככה תחפש:
web applications security.
אני אמליץ לך על כמה אתרים:
http://shiflett.org
http://jeremiahgrossman.blogspot.com/
XSS:
יש כמה וכמה צורות של XSS.
Cross-Site Request Forgeries
על זה תוכל לקרוא פה:
http://shiflett.org/articles/cross-s...uest-forgeries
בגדול, זה לוודא שהטופס שלך, כל טופס, רץ מהשרת שלך, הפרמטרים שאתה מקבל - הם מהטופס שבשרת שלך. ואתה משיג את הבטחון הזה על ידי זה שאתה משתמש בסשן טוקנים, ואתה כבר תבין מה זה במאמר עצמו.
וזה גם מענה טוב לכל המתכנתים התותחים שאומרים שאין צורך לאבטח את הפאנל בכלל.
כי יש צורך, ויש צורך לוודא שמי שמנהל את המערכת הוא באמת המנהל ולא עושה נזק.
מאותה סיבה, למה לעזעזל מיקרוסופט השקיעו בכל העניין של ההתרעות בויסטה?
כל פעם שמנסים לבצע פעולה אדמיניסטרטיבית יש לנו הודעה מעצבנת. זה מאותה סיבה.
מקווה שלפחות כמה מכם הבינו את הטעות.
אבטחת אפליקציות אינטרנט זה מעבר לכמה פונקציות ושיטות התגוננות, זה תפיסה.
תדמיינו שאתם רואים את הקוד שלכם ומבינים מה צריך לעשות כדי לאבטח אותו בלי שום מאמר בנושא.
כל נתון שהתקבל מהגולש הוא זדוני עד שהמערכת שלכם תוכיח אחרת.
וזאת על ידי הבדיקות שהמערכת אמורה לעשות.