我一直在使用ASP.Net Web窗体大约5年,我相信我的代码至少足够安全,可以阻止大多数已知的攻击。回顾我早期的许多代码,我不知不觉地在许多安全领域留下了空白,特别是查询字符串和viewstate,但是随着时间的推移,我知道漏洞是什么,并确保我没有再犯同样的错误。
不过我最近在ASP.Net MVC中开始了一个新的项目,我真的不知道我打开什么安全漏洞。只是这个原因,几乎让我不得了。我正在读书,就像疯狂的一样,但我确信我没有学到足够的东西,使它像Web表单一样安全。你们做什么来确保你不让自己开放攻击?
编辑:开始赏金好奇,看看有没有什么意见
解决方法
>记住以下几点:有三种类型的漏洞。您正在使用的框架(例如,Ruby on Rails公共控制器问题)是独一无二的,对于您构建的应用程序类型(例如Web应用程序必须担心XSS)和您的应用程序唯一的那些尤其是。
>确定您正在使用的新技术如何减轻应用程序类型的安全漏洞。例如,ASP.Net MVC如何缓解XSS?如何缓解sql注入?如果文档中没有答案,那么就弄清楚你将如何解决这些常见类型的漏洞。此外,暂停,因为如果框架不能缓解这些问题,那么也许框架开发人员没有优先考虑安全性,并且可能没有编写非常强大的框架。
找出你为什么需要安全性和你想要保护的东西。例如:您的应用程序在查看敏感数据之前是否需要授权?如果是这样,确定框架为授权提供哪些功能。
>在文档中查找安全性部分。通常已知的问题已被记录在案,但人们非常关注如何解决问题,以免他们找不到问题。
>防守守则,并注意用户输入的使用方式。慷慨地定义什么是用户输入。例如,querystring或post字段是显而易见的,但是在许多MVC框架中,URL指示运行什么代码(例如,参见Ruby Routes漏洞)。非常了解数据的处理方式
>压力测试您的业务逻辑,并弄清楚如何可能被滥用。
简而言之:仔细处理用户输入,阅读现有文档,确定需要哪些安全性,并弄清楚框架如何缓解常见漏洞类。意识到安全是重中之重,注意力是战斗的50%。
原文地址:https://www.jb51.cc/aspnet/252650.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
