Top Ten Security Threads
How To: Prevent Cross-Site Scripting in ASP.NET
How To: Protect From Injection Attacks in ASP.NET
How To: Protect From SQL Injection in ASP.NET
How To: Use Regular Expressions to Constrain Input in ASP.NET
Sau khi tôi đọc trên các bài báo,
tôi tóm tắt cách của biện pháp can thiệp bằng cách sử dụng công nghệ asp.net, và Entity Framework.
Tuân tiêm
-Enable Asp.net xác nhận yêu cầu trong asp.net tập tin web config.
- Bật chế độ lỗi tùy chỉnh trong tệp cấu hình web asp.net.
-Sử dụng các điều khiển xác thực nhập phía máy chủ để hạn chế đầu vào.
-Giảm đủ độ dài, phạm vi, định dạng và loại cho mọi đầu vào cho hệ thống.
-Sử dụng nhập dữ liệu mạnh.
-Kích hoạt mọi trường văn bản tự do và đầu ra không an toàn bằng cách sử dụng HttpUtility.HtmlEncode.
-Xác thực đường dẫn tệp bằng System.IO.Path.GetFileName và System.IO.Path.GetFullPath.
-Sử dụng Request.MapPath để ánh xạ đường dẫn ảo được cung cấp tới đường dẫn vật lý trên máy chủ.
-Phát triển tấn công SQL injection bằng cách sử dụng cú pháp truy vấn LINQ to Entities.
xác thực bị hỏng và Session Management Tuân
-Sử dụng muối phương pháp băm cho dữ liệu nhạy cảm của người dùng.
-Sử dụng giao thức SSL/TLS cho mọi dữ liệu thông tin đăng nhập.
-Thời gian chờ của phiên được xác định đúng cách.
Cross-Site Scripting (XSS) Tuân
biểu thức thông thường -Sử dụng để hạn chế các lĩnh vực đầu vào quan trọng trong ASP.NET.
-Sử dụng ASP.net RegularExpressionValidator và RangeValidator để hạn chế các điều khiển đầu vào phía máy chủ.
-Kích hoạt mọi đầu vào từ người dùng hoặc từ các nguồn khác, chẳng hạn như cơ sở dữ liệu.
không an toàn đối tượng trực tiếp tham khảo Tuân
-Give chỉ cụ thể truy cập người dùng/nhóm dự án của bạn và thư mục liên quan của nó.
an sai Tuân
-Show chỉ tùy chỉnh thông báo lỗi cho người dùng.
Sensitive liệu Exposure Tuân
-Sử dụng các thuật toán mã hóa hiện đại để mã hóa tất cả dữ liệu nhạy cảm.
Thiếu Chức năng Cấp độ Truy cập Tuân kiểm soát
-Hãy chắc chắn rằng trình đơn hệ thống của bạn và danh sách chương trình được dân cư dựa trên mức độ cho phép sử dụng.
-Hãy chắc chắn rằng hệ thống của bạn kiểm tra trước khi trả lời yêu cầu của người dùng nếu nó hợp lệ cho anh ấy \ cô ấy.
Cross-Site Request giả mạo (CSRF) Tuân
-Sử dụng CAPTCHA hình ảnh để đảm bảo rằng các yêu cầu không được tạo ra bởi một máy tính.
-Sử dụng CSRF Token để đảm bảo rằng trang cụ thể gửi yêu cầu đến máy chủ của bạn chỉ được tạo bởi máy chủ của bạn.
Sử dụng thành phần dễ bị tổn thương đã biết tuân thủ
-Luôn luôn cập nhật thành phần/thư viện.
unvalidated Chuyển hướng và đạo Tuân
-Hãy chắc chắn rằng hệ thống của bạn luôn luôn kiểm tra xem URL và các thông số của nó là hợp lệ hay không, trước khi nó được chuyển hướng.
http://msdn.microsoft.com/en-us/library/aa973813.aspx là một tài nguyên khác để bảo vệ xss. Thư viện cung cấp mức bảo vệ cao hơn chức năng bộ mã hóa mặc định. –
Liên kết thứ hai bị hỏng. Đây là một bản sao lưu trữ của trang: https://web.archive.org/web/20091006040147/http://technotes.towardsjob.com/dotnet/asp-net-developers-checklist-security-checklist –