不确定是否有人听过Hanselminutes第134和135集,但在节目结束时135 Scott Hanselman就如何为Web应用程序设置基线安全环境提出了很多很好的建议。作为开发人员,我的大部分时间都专注于开发应用程序,而不是项目的网络方面,但作为一个初创公司,这仍然是一个重要的组件,没有安全顾问,如何实现和正确设置斯科特对这个问题有相同的了解吗?
我想我正在寻找关于该主题的一些阅读(书籍,文章,网站),这将有助于我理解Scott建议的方法来建立一个安全的网络环境来托管应用程序。 IIS,SQL Server,防火墙,更新站点而无需使用“远程桌面”(以避免任何RDP漏洞)等。
P.S。杰夫 - 没有人因为没有任何额外服务器的钱而让你感到不安,我们知道如果你能负担得起的话。不要把那个'银行家'垃圾从斯科特那里拿走,那家伙已经在微软工作了太久,忘记了作为创业公司破产的感觉......哈哈哈。
编辑:要明确,我不是在谈论代码安全性,而是在谈论加密服务器,网络拓扑,防火墙等之间的流量。
编辑#2:更改了主题。
答案 0 :(得分:2)
owasp将是一个很好的起点。
答案 1 :(得分:1)
由于您是ASP.NET用户,因此您可以查看Microsoft Press的书提高Web应用程序安全性 ISBN 978-0735618428。 entire text is hosted on MSDN here。dead tree versions。还有ebook versions和Chapter 5: Architecture and Design Review For Security可用。
我特别指出这些章节:
Chapter 15: Securing Your Network
Chapter 16: Securing Your Web Server
Chapter 17: Securing Your Application Server
Chapter 18: Securing Your Database Server
{{3}}
不可否认它有点过时了(.NET 1.1,IIS 5.0,SQL Server 2000),但基本原则就在那里。