我应采取哪些措施来保护我的多层ASP.NET应用程序?

时间:2009-05-28 20:57:56

标签: asp.net security

我正在设计一个应该处理敏感信息(比如财务数据)的多层ASP.NET Web应用程序。

我想确定应用程序在现实生活中将面临的所有潜在威胁并相应地规划对策

一些细节:

  • 该应用程序将托管在客户的数据中心,供内部和外部用户使用
  • 目标平台是Windows Server 2008 + IIS7或Windows Server 2003 + IIS6
  • 目标数据库是MS SQL Server 2008

3 个答案:

答案 0 :(得分:4)

唷!从哪里开始......取决于您需要它的“安全”程度。即个人博客与大型公司/政府部门的大型项目之间的差异。等...

没有特别的顺序

  • 通过加密来保护您的配置文件。
  • 确保您的数据库位于某种DMZ之后,而不是公开可访问的IP
  • 让安全公司对您的网站进行潜在漏洞检查(跨站点脚本/ Sql注入)
  • 使用SSL
  • 在服务器上以端口方式锁定所有内容,但80 HTTP&除非绝对必要,否则为443 HTTPS
  • 确保您的远程桌面/ VNC与该框的连接是安全的
  • 如果您在DB中存储密码,则哈希&加盐并不存储纯文本
  • 发布您的代码,不要在服务器上留下源代码
  • 根据已知标准构建代码,即不编写自己的加密算法
  • 如果Site-> DB或Site-MSMQ之间的安全连接可用,请使用它们

微软有一篇关于保护我将要挖掘的ASP.NET应用程序的文章。

修改

正如Syed刚刚在他的回复中所说,(+1给他一个信用)

Building Secure ASP.NET Applications: Authentication, Authorization, and Secure Communication

答案 1 :(得分:2)

答案 2 :(得分:0)

这是一个非常大(广泛)的问题,有完整的安全书籍无法回答这个问题。转到Borders并获得一些安全书并开始阅读。