asp.net mvc 站点的安全最佳实践？

Posted 2023-02-22

【中文标题】asp.net mvc 站点的安全最佳实践？

【英文标题】：Security best practices for asp.net mvc sites?

【发布时间】：2011-04-25 05:52:28

【问题描述】：

我在整个互联网上搜索，试图获得有关像网上银行网站这样真正安全的网站的安全实践指南，但没有找到。

我的兴趣是了解您在以下领域使用的做法：

通信：绝对使用 SSL ... 任何额外的技巧来防止“中间人”攻击。 身份验证：用户名 + 密码 + 验证码 + 时间限制 + 强制定期更改。 页面之间的导航：有这种东西吗？ 防止 XSS 和 XSRF：已经在平台中。 加密客户端和服务器上的敏感数据：到底是什么？客户端应该有敏感数据吗？ 微调授权：显示/隐藏+执行命令+权限。 审计 ?什么 ？以及这与日志记录有何不同。 页面级安全性：防止对页面内容进行操纵（我们真的需要这个吗？）

以及如何检测渗透尝试？监控 IP，锁定某些帐户...？ 有没有办法测试或模拟威胁？

【问题讨论】：

您是在制作网上银行网站，还是只是好奇？

我真的认为你需要聘请一家公司来咨询这个问题。虽然您应该做很多一般性的事情，但其中大部分确实需要完全了解您的确切系统和计划。

是的，这就是为什么我问他是否正在建立一个站点。我想如果您带着Encrypt senstive data on client and server ??! 和any extra tips? 的问题来到这里，您可能应该寻求外部帮助。

不，我不是在建立银行网站。但由于银行确实需要高级别的安全性，我认为这将产生最佳实践，给黑客带来严峻的挑战。

@Noon Silk：如果要聘请一家公司来做这项工作，那么我会做这份工作。 @tster：这是我正在寻找的外部帮助。您可能忘记了，这个网站是供专家回答他们所知道的问题的。

【参考方案1】：

我将从 PCI-DSS 指南开始作为保护数据的基准。

PCI-DSS 是支付卡行业数据安全标准。这是业界首次尝试制定保护银行业数据的指导方针。该指南专门针对持卡人数据，但通常是保护数据的重要资源。 PCI 要求包括年度现场审核和季度网络扫描。

另一个很好的资源是OWASP，它提供了有关 Web 应用程序安全性的一般指导

OWASP 详细介绍了如何执行威胁建模、测试（和纠正）常见漏洞。如需快速入门，请前往OWASP Top Ten

【讨论】：

我正在寻找专家的更多答案......但是......这是唯一的答案:)