我正在寻找ASP.Net中最好的可重用库和内置功能,以防止OWASP十大安全漏洞,如注入,XSS,CSRF等,以及易于使用的工具来检测这些漏洞供测试团队。
您认为在开发生命周期中何时开始将安全编码纳入应用程序的最佳时机?
答案 0 :(得分:4)
我的两分钱:
- 要求在GET和POST参数中进行身份验证,而不仅仅是Cookie;
- 检查HTTP Referer标头;
- 确保没有允许无意访问的crossdomain.xml文件 Flash电影[14]
- 限制身份验证Cookie的生命周期
- 处理POST时,如果您知道它们应该忽略URL参数 来自表格
- 在所有表单提交中要求一个特定于用户的秘密令牌 副作用URL阻止CSRF;该 攻击者的网站无法把权利 提交中的令牌
答案 1 :(得分:4)
我的经验是,只是给开发人员一个工具箱并希望最好的并不能真正发挥作用。安全性是代码质量的一个方面。安全问题是错误。像所有的错误一样,即使是更了解的开发人员也会最终编写它们。解决这个问题的唯一方法是有一个流程来捕获错误。
考虑您需要什么样的安全流程。仅自动测试?代码审查?手动黑盒测试?设计文件审查?您将如何在错误跟踪系统中对安全问题进行分类?您将如何确定修复安全漏洞的优先级?您能够向客户提供什么样的保证?
可能有助于您入门的是OWASP ASVS验证标准,可帮助您验证安全验证过程是否真正有效:http://code.google.com/p/owasp-asvs/wiki/ASVS
答案 2 :(得分:3)
第一个最佳实践:在编码时注意漏洞。如果你的代码考虑你正在做什么。