5
我想确保ASP.NET Web应用程序免受黑客攻击。有没有特定的ASP.NET编码明智的任务列表,使ASP.NET更安全?超出MSDN提及的内容。我对使用代码示例的具体步骤感兴趣,以避免跨站点请求伪造&跨站点脚本。保护asp.net web应用程序的步骤清单?
我知道有关连接到SQL Server时使用的SQL参数SQL注入,Windows身份验证和验证表单输入的服务器上。
A
回答
5
1
的OWASP(开放Web应用安全项目)有十大Web应用程序漏洞的列表方便: http://www.owasp.org/index.php/Top_10_2007
这里是一个微软反跨网站脚本库1.5教程: http://msdn.microsoft.com/en-us/library/aa973813.aspx
这里有一个非常丰富的,虽然不是很知名的安全资源,在ASP.NET 2.0互联网安全参考实现 - 基本模式&做法:
最后但并非最不重要的,这里是在一个视频建筑背后CAT.NET: http://channel9.msdn.com/posts/Jossie/Architecture-behind-CATNET/
下载CAT.NET工具的最新版本在这里(32位和64位): http://bit.ly/164BlV
1
Top Ten Security Threads
How To: Prevent Cross-Site Scripting in ASP.NET
How To: Protect From Injection Attacks in ASP.NET
How To: Protect From SQL Injection in ASP.NET
How To: Use Regular Expressions to Constrain Input in ASP.NET
我阅读了上面的文章之后,
我用asp.net技术总结防治的方式,和Entity Framework。
注射遵守
-Enable Asp.net要求在asp.net web配置文件验证。
- 在asp.net web配置文件中打开自定义错误模式。
- 使用服务器端输入验证控件来约束输入。
- 验证系统每个输入的长度,范围,格式和类型。
- 使用强大的数据类型。
- 使用HttpUtility.HtmlEncode对每个自由文本字段和不安全的输出进行编码。使用System.IO.Path.GetFileName和System.IO.Path.GetFullPath
-Validate文件路径。
- 使用Request.MapPath将提供的虚拟路径映射到服务器上的物理路径。
- 通过使用Linq to Entities查询语法防止SQL注入攻击。
残破的认证和会话管理合规性为用户的敏感数据
- 使用盐渍哈希方法。
- 为每个凭据数据使用SSL/TLS协议。
- 定义的会话超时正确。
跨站点脚本(XSS)遵守
- 使用正则表达式来约束在ASP.NET关键输入字段。
- 使用ASP.net的RegularExpressionValidator和RangeValidator控件来约束服务器侧输入控件。
- 对来自用户或其他来源(例如数据库)的每个输入进行编码。
不安全的直接对象引用符合
-Give只有特定的用户/组访问您的项目及其相关的文件夹。
安全配置错误遵守
-Show只自定义错误消息给用户。
敏感数据暴露符合
- 使用现代的加密算法来加密所有敏感数据。
缺少功能级访问控制达标
- 确保您的系统菜单和节目单都是基于用户授权级别填充。
- 确保您的系统检查响应用户请求之前,如果它是有效的为他\她。
跨站请求伪造(CSRF)遵守
- 使用CAPTCHA图像以确保没有由计算机生成的请求。
- 使用CSRF Token,以确保由您的服务器只创建了发送请求(S)到你的服务器的特定页面。
使用已知的易损部件符合
-always保持部件/库更新。
未经验证的重定向和转发符合
- 确保,您的系统经常检查,如果网址和它的参数是有效的或者不被重定向之前。
+0
HTTPS:/ /dzone.com/articles/10-steps-to-secure-software?utm_source=Top%205&utm_medium=email&utm_campaign=top5%202015-12-18 – 2015-12-18 13:33:23
相关问题
- 1. 保护Asp.net Web窗体应用程序
- 2. 保护Web应用程序
- 3. 使用表单身份验证保护asp.net web应用程序
- 4. 保护ASP.NET应用程序
- 5. 创建Spring Web应用程序:步骤?
- 6. ASP.Net Web应用程序的部署步骤
- 7. ASP.NET应用程序 - 调试步骤
- 8. 清单web应用程序
- 9. 保护Web应用程序的WIFI
- 10. 密码保护IIS 7.5中的ASP.NET Web应用程序
- 11. 保护iphone + web应用程序
- 12. 使用OAuth保护Web API所需的步骤是什么?
- 13. 什么CAS保护ASP.NET应用程序?
- 14. 密码保护asp.net应用程序?
- 15. 步骤在将Web应用程序转换为iPad时需要的步骤
- 16. 需要帮助来保护ASP.NET Web应用程序
- 17. 如何保护ASP.NET MVC Web应用程序?
- 18. 使用c#在Asp.net中创建Web应用程序的初始步骤#
- 19. 什么是ASP.NET应用程序的启动过程步骤?
- 20. 将lightswitch应用程序集成到现有Web应用程序的步骤
- 21. 单元测试您的mvc3应用程序的步骤?
- 22. 内嵌Web应用程序清单?
- 23. html5 web应用程序清单样板?
- 24. 开发IBM Watson Web应用程序的步骤
- 25. 创建MVC Web应用程序的步骤
- 26. 开发多等级Web应用程序的步骤
- 27. 步骤去编程android应用程序
- 28. 在ASP.NET应用程序中保护单个页面
- 29. 部署Dataflow应用程序的步骤
- 30. ASP.NET Web应用程序中的菜单
http://msdn.microsoft.com/en-us/library/aa973813.aspx是XSS保护另一个很好的资源。该库提供比默认编码器功能更高级别的保护。 – 2009-10-01 02:16:40
第二个链接已损坏。下面是页面的存档副本:https://web.archive.org/web/20091006040147/http://technotes.towardsjob.com/dotnet/asp-net-developers-checklist-security-checklist – 2015-07-31 17:02:19