社区网站有哪些良好的安全措施？

Question

我应该如何保护我在Rails中创建的社区驱动的网站？这个网站包括我从头编写的微博服务和我论坛，加上它（显然）包括用户帐户。这样的网站有哪些良好的安全措施？

Answer 1

这是最好的起点之一。 http://guides.rubyonrails.org/security.html

Answer 2

这也是一个很好的轨道广播：

http://railscasts.com/episodes/178-seven-security-tips/

帮助我使用我的网站。

Answer 3

以下是您应该考虑的简短摘要：

• 关于对服务器的攻击

  只要您使用带参数的标准活动查询函数，
  • SQL injections就会被rails阻止。 All is described here。
  • Mass Assignement漏洞鲜为人知，但在铁路中非常重要，如提醒recently。批量赋值允许从散列创建或更新对象（ Foobar.new（params [：foobar] 或* Foobar.update_attributes（params [：foobar] *）。在这种情况下，用户将能够修改授权进行质量分配的任何值。最佳实践包括默认禁用质量分配（使用最后一个rails版本完成）而不授权敏感参数的质量分配（管理员权限......）

• 关于对客户的攻击

  • 反对XSS，在显示用户设置的参数时始终进行编码（使用h功能）。注意不要使用单引号作为分隔符，因为它们不是由rails编码的。
  • 反对CSRF，始终使用Rails中实施的CSRF token

您可以在此处找到有用的资源：

• Rails security guide
• OWASP Cheatsheets
• brakeman是一个审核您的rails代码以查找漏洞的插件
• Rails Best Practices包含一些安全指南
• OWASP testing guide是测试网站的一个很好的资源，但请记住，除了开发人员以外的其他人进行测试总是更好。