Wie halten Sie böswillige Personen von Ihrer öffentlichen Website fern?

Question

Ich baue gerade eine Website, die nach klassischen Verifikationsmethoden (Captcha + Email Verif.) Öffentlichen Zugang erlaubt. Ich tue mein Bestes, um alle Eingaben zu bereinigen und die Kontrolle über die Datenflüsse zu behalten. Ich bin 100% sicher, dass es Leute/Bots geben wird, die versuchen werden, das System wegzuhacken: Postwerte ändern, versuchen, xss oder sql Injektionen einzufügen, etc ...

Wie ich meine Eingabe sterilisiere, sehe ich das Ich kann diese Aktionen erkennen und deshalb frage ich mich: Was soll ich tun, um sie davon abzuhalten, weiterzumachen? Sollte ich es überhaupt versuchen oder wird das alles noch schlimmer machen?

Ich kann ihre Aktivität protokollieren, ihr Konto aussetzen, Daten von ihrer immer so temporäre IP-Adresse verweigern, falsche Informationen zurückgeben, um ihnen den Eindruck von Erfolg zu geben, etc ... So viele Dinge und doch nichts perfekt oder nervig genug damit sie es einfach gehen lassen.

Also hier geht meine Frage: Was tun Sie, um bösartige Menschen von Ihren öffentlichen Websites fern zu halten?

Answer 1

Das Beste, was Sie tun können, ist so zu tun, als wäre nichts passiert: Wenn Sie bösartigen Code erhalten, melden Sie das Ereignis (es könnte der Fall etwas verpasst haben und es ist tatsächlich ein Codierungsfehler), zeigen Sie eine kleine Fehlerseite ohne zu geben Details und geben Sie einen Link um auf eine andere, hoffentlich nützliche Seite umgeleitet zu werden.

Ich glaube, es ist besser, nicht böswillige Nutzer dazu zu verleiten, weiter zu versuchen, also sollten Sie es vermeiden, Dinge wie "Nonoo, böser Junge! Raus!" zugunsten der einfachen "wir entschuldigen uns" Nachrichten.

Answer 2

• SQL Injection sichert
• Log verdächtige Dinge (wenn Sie erwarten, 14 Datenfelder, melden Sie etwas < 14)
• nicht anzeigen Fehler von der Server-Seite Sprache ... Wenn Sie Verwenden Sie einen weichen Fehler mit einer freundlichen Beschreibung. Kein Fehler in Zeile 111 auf htdocs/www/sensitive/data.php
• Melden Sie fehlgeschlagene Anmeldungen und begrenzen Sie die Zeit zwischen fehlgeschlagenen Anmeldungen. Machen Sie es exponentiell bis zu einer sicheren Grenze (z. B. 30 Minuten zwischen Logins)
• Sanitize alles! Nehmen Sie keine Werte von Auswahlfeldern, Kontrollkästchen oder Radioboxen an.
• Und viel mehr werde ich hinzufügen, wenn ich an sie denke ...

Seb's answer hat gute Ratschläge: Den Endbenutzer nicht sagen, dass es ein Fehler war. Ich könnte mir vorstellen, dass ein Hacker die Informationen des Fehlers nur für böswillige Zwecke verwenden und seinen Wunsch vergrößern könnte, mit seinem Hacking weiter zu gehen.

Answer 3

Nun, ich war ähnlich ein bisschen etwas zu denken ... Sagen Sie mir, was Sie darüber denken ...

Als ich Falle versucht, das System zu brechen, ich log sie in die Daten des Benutzers und erhöht ein " Schlaf "Zähler. Jedes Mal, wenn der Benutzer zukünftige Anfragen vom Server macht, werde ich einfach die richtige Zeit warten. Es ist dann für ihn unsichtbar, doch das System wird für sein Konto immer langsamer und langsamer, wenn er versucht, seinen Job zu machen ... Ich dachte, ich könnte sogar eine kleine ironische Nachricht hinzufügen wie: "Danke fürs Warten. . '