我即将开始使用c#,ASP.Net MVC 2,IIS7和SQL 2008构建电子商务网站。该网站将允许用户登录,购买和管理他们的订单。显然,这里需要强大的安全性。我一直在寻找SO和谷歌的一个权威指南,它涵盖了足够的安全性,让我能够......
这将是我第一个从头开始构建的电子商务网站。是否有使用ASP.Net MVC 2 / SQL 2008为电子商务网站的所有方面实施强大的Web安全性的明确或白痴指南?
非常感谢您提供所有帮助!
答案 0 :(得分:2)
“Definitive”和“idiots guide”似乎有点相互排斥,但这里有一些我在处理一般ASP.NET安全性和一些专门用于MVC之前看到的:
Building Secure ASP.NET Applications: Authentication, Authorization, and Secure Communication(Microsoft,MSDN)
Developer Highway Code(安全 - MSDN - Microsoft UK)
Improving Web Application Security: Threats and Countermeasures(Microsoft,MSDN)
The HaaHa Show: Microsoft ASP.NET MVC Security with Haack and Hanselman(微软视频)
还有一些关于防止javascript攻击的http://www.asp.net/mvc/security教程。基本上,这归结为始终 HTML编码任何输出。
对于SQL 2008,通常的最佳做法是使用Windows身份验证,并仅授予对必须使用的表的读/写权限。
答案 1 :(得分:1)
请参阅ASP.net上的MVC安全页面。
他们有一些很好的视频,他们的示例应用对我有帮助。
答案 2 :(得分:1)
从OWASP开始。
OWASP是Web应用程序安全的权威。他们的十大漏洞列表是网络安全的圣经。
在此尝试OWASP概述:http://www.owasp.org
此处为OWASP前十名:http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
后一个链接显示了如何防范这些威胁,包括.Net代码。