我正在开发一个MVC 5互联网应用程序,并且有一些与安全有关的问题。MVC 5安全措施
我需要手动执行哪些安全措施以确保我的Internet应用程序安全?
这是我到目前为止有:各HttpPost功能
[ValidateAntiForgeryToken]属性Sanitizer.GetSafeHtml功能上有HTML 数据在此先感谢。
UPDATE
的应用是托管在Azure上的Web服务的简单的MVC互联网应用。我正在使用实体框架6,Web API 2.0和MVC 5.我可以给你什么相关信息?
这将涵盖您的XSRF和Stored XSS。您还应该检查:
最常见的漏洞是不是技术上的错误,例如,你应该:
减少从客户端信任的数据。例如,如果您有购物车,那么将价格作为购买表单中的隐藏字段看起来是个不错的主意,因此服务器无需前往数据库以获取该产品的价格,但那么用户可能会篡改表格并以$ 0或甚至$ 100购买。
检查用户是否无法欺骗多步表单,例如允许他在不通过付款页面的情况下订购产品。
检查您的应用程序是否按名称返回文件,不能执行类似http://example.com/Home/GetFile?filename=..\..\Web.config的操作。
检查您是否正在执行授权BESIDES身份验证。例如,用户123可被认证,但未被授权检查用户456简档。
...等...
做的最好的事情,就是检查OSWASP页:https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
这取决于你的应用程序的功能。我假设你已经在使用https来保护与客户的沟通。如果您使用某个SQL数据库,则需要确保自己免受SQL注入攻击。您可以采取措施来防止/处理DDOS攻击等等。没有更多的信息很难说。 – MvdD 2014-12-02 05:07:47