asp.net-mvc – ASP.NET MVC安全检查表
关于设计和开发安全性(甚至是SO的一堆帖子),还有大量好的文章,但他们似乎都专注于你应该做的事情。
然而,我以后是一个像思想一样的黑客检查表。完成开发后,您应该仔细阅读的简单操作列表,以确保解决方案安全。 (更新:我最感兴趣的是一个黑匣子清单 – “去一个页面,尝试这样的”这样的事情,但是一个白盒检查表也可能是感兴趣的。) 这是我到目前为止已经提出的一些事情: 安全Blackbox清单 >提交不正确/恶意的数据(这里的示例),以确保通过javascript验证输入的类型,长度,格式和范围。 >您不仅可以使用javascript进行检查,还可以在服务器端进行验证 >根据http://www.example.com/foo?bar=HugeAmountOfData在查询字符串中插入非常大量的数据,以确保约束输入并执行边界检查。 安全白箱清单 Web层。 >在调试模式下,打破代码,使其抛出异常,以确保其安全失败。确保您捕获异常并记录详细的消息,但不会向客户端泄漏信息。 服务层。 >在调试模式下,打破代码,使其抛出异常,以确保其安全失败。确保您捕获异常并记录详细的消息,但不会向客户端泄漏信息。 数据库层。 >确保检索存储过程不使用SELECT *,但始终明确指定列的列表。 注释?更正?缺少步骤? 使其成为社区wiki,随时可以随意编辑。 解决方法
要添加到列表中:
黑色:DoS攻击 – 使用tinyget或类似的模拟DoS攻击,看看你的应用程序的作用。 黑色:规范化攻击。提到一点,可能是特殊的焦点可以在一个目录遍历攻击的情况下下载。 白色:敏感信息使用Cookie?请参阅Cookie不用于敏感数据,并且不会在意图间隔内本地持久存储。 黑色:再次使用scripted tinyget或尝试手动查看是否强力密码猜测可以工作,或者您的应用程序有智能延迟/拒绝密码猜测攻击。 黑色:进行任何攻击,看看管理员是否自动通知攻击,或者只有攻击者才知道攻击。 “确保您的安全决策不依赖于HTTP标头信息” – http标头用于ntml / kerberos身份验证?可能只是不要愚蠢地使用它们,不要发明或依靠引用者等等? 一般:使用商业黑/白箱安全扫描仪,可能是昂贵的,但可能很难做安全回归测试,否则。 (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- 如何从asp中检索多个选定的值:checkbox .net c#
- ASP.NET MVC对DateTime有什么格式,以便模型绑定能够正常工作
- ASP.NET MVC5+EF6+EasyUI 后台管理系统(66)-MVC WebApi 用
- asp.net jquery无刷新分页插件(jquery.pagination.js)
- 详解ASP.NET Core 中的框架级依赖注入
- asp.net-mvc – ASP.NET MVC – 通过GET提交时,让Html.Begi
- asp.net中的TDD新手,我是否在正确的轨道上编写测试?
- asp.net-mvc – ASP.NET MVC路由 – 所有看起来都匹配正确的
- asp.net下Repeater使用 AspNetPager分页控件
- asp.net – 创建密码和密码