向世界公开基于Web的内部应用程序的安全性

时间:2013-02-04 00:49:08

标签: asp.net asp.net-mvc asp.net-web-api security

我们有一个内部CRM系统,目前是一个只能在我们的内部网中访问的网站。老板现在想把它暴露在外面,以便人们可以在家里和路上使用它。我担心的是安全性,因为我们会将客户群暴露给外部世界。我已经实现了3层安全性如下:

  1. 登录的用户名和强密码组合
  2. 通过线路推送所有数据的SSL
  3. 一旦用户登录并进行了身份验证,服务器就会向他们传递一个令牌,该令牌必须在与服务器的所有通信中使用,而不是用于。

    4. 基本上我在网络安全方面有点新意。谁能给我一些关于我是否遗漏任何东西的建议?或者应该改变什么?

1 个答案:

答案 0 :(得分:1)

你应该考虑整个世界的事情,而且要快速回答这个问题真的很难 - 所以我会指出一系列可以帮助你/帮助你开始的资源。

首先,我会插入http://security.stackexchange.com,对于您遇到的任何具体问题,他们可以提供很大的帮助。

现在,您应该检查更直接的事情:

  1. 您的系统是否在防火墙后面?我建议至少将您的数据库放在外部无法直接使用的服务器上。

  2. 针对您的网站探索并运行一系列(免费)安全工具,以尝试查找任何问题。例如。: https://asafaweb.com http://sectools.org/

  3. 阅读常见漏洞(例如SQL注入)并确保您正在防范它们: https://www.owasp.org/index.php/Top_10_2010-Main https://www.owasp.org/index.php/Category:Vulnerability

  4. 你的令牌如何被传递,如果另一个用户抓住它(例如在另一台机器上缓存之后)会发生什么?

  5. 确保您有一个不错的密码保护政策(体面的复杂性,通过在3次尝试后锁定帐户来防止暴力攻击)。

  6. 如果这是您的一个大问题(考虑在最糟糕的情况下您的业务风险)考虑聘请专家或某人对您的系统进行安全测试?

    7. 或者,正如mrunion在上面的评论(+1)中出色地指出的那样,您是否考虑过其他更安全的方式来打开它,以便您不需要在网上发布这个?

    希望能让你开始。

相关问题
最新问题