根据日益增加的安全威胁,我的网站在各个方面都需要极为谨慎。我知道asp.net内置了一些安全措施(防伪令牌,跨站点脚本,身份验证,角色),但这还不够。
我需要一个工具来测试所有可能的安全威胁(暴力攻击,...... IP位置,浏览器信息......) 和一个框架(开源更好),处理所有这些问题,并让你建立。
修改 因此,为了缩小范围,我主要担心的是保护“登录”页面免受所有可能的威胁。
非常感谢帮助!
P.S。如果有人无法回答,请跳过问题并免除评论和反对票。感谢。
答案 0 :(得分:2)
在安全性方面,听起来你的构建非常严肃。
当我构建应用程序时,我首先分析用法,如果我知道最终客户端并且他们在防火墙后面操作我首先通过IP地址限制对该站点的访问。
始终对网站的敏感部分使用SSL证书。
如果网站面向公众,请使用microsoft forms身份验证,但将安全元素拆分为单独的数据库,以免在可能影响安全性的架构上发生意外修改。
确保在服务器端重复进行任何客户端验证,客户端验证是为了保存往返,但有人可以欺骗您的网站。
确保在锁定密码之前设置密码的次数限制。
通过.net会员提供商实施强密码策略。
确保加密传递给javascript的所有重要变量。
不要做这些事情: -
// sql注入 string sql =“select * from Test where userid ='”+ textbox1.text“'”
测试整个服务器的安全漏洞的最佳起点如下: -
http://www.microsoft.com/en-us/download/confirmation.aspx?id=573
此致
史蒂夫
答案 1 :(得分:1)
我认为一般的辩护方法是你必须要考虑的。我的意思是你必须“密封你的服务器”,而不仅仅是网页。在服务器端,您首先需要更改默认端口,使用防火墙阻止端口扫描,并监控关键端口以防止出入。
现在,从网页/页面方面,我知道Google中至少有一个工具可以帮助您获得一些成就。
http://google-gruyere.appspot.com/
关于sql注入的第二篇文章
http://www.symantec.com/connect/articles/detection-sql-injection-and-cross-site-scripting-attacks
从程序中我知道iMperva更接近您搜索的内容
http://www.imperva.com/products/wsc_threatradar.html
我相信还有更多......
还需要一些时间阅读
Can some hacker steal the cookie from a user and login with that name on a web site?
How serious is this new ASP.NET security vulnerability and how can I workaround it?
答案 2 :(得分:1)
使用内置的ASP.net会员系统。它由安全专业人员设计,经过全面测试和强大。如果你正确使用它,你几乎不用担心。它具有许多内置功能,例如记录失败的登录尝试,这可能会让您受益。