.net – 使用新技术时的安全问题

>记住以下几点：有三种类型的漏洞。您正在使用的框架(例如，Ruby on Rails公共控制器问题)是独一无二的，对于您构建的应用程序类型(例如Web应用程序必须担心XSS)和您的应用程序唯一的那些尤其是。
>确定您正在使用的新技术如何减轻应用程序类型的安全漏洞。例如，ASP.Net MVC如何缓解XSS？如何缓解SQL注入？如果文档中没有答案，那么就弄清楚你将如何解决这些常见类型的漏洞。此外，暂停，因为如果框架不能缓解这些问题，那么也许框架开发人员没有优先考虑安全性，并且可能没有编写非常强大的框架。
找出你为什么需要安全性和你想要保护的东西。例如：您的应用程序在查看敏感数据之前是否需要授权？如果是这样，确定框架为授权提供哪些功能。
>在文档中查找安全性部分。通常已知的问题已被记录在案，但人们非常关注如何解决问题，以免他们找不到问题。
>防守守则，并注意用户输入的使用方式。慷慨地定义什么是用户输入。例如，querystring或post字段是显而易见的，但是在许多MVC框架中，URL指示运行什么代码(例如，参见Ruby Routes漏洞)。非常了解数据的处理方式
>压力测试您的业务逻辑，并弄清楚如何可能被滥用。

简而言之：仔细处理用户输入，阅读现有文档，确定需要哪些安全性，并弄清楚框架如何缓解常见漏洞类。意识到安全是重中之重，注意力是战斗的50％。