如何通过错误报告反馈链接防止网站攻击?

Posted

技术标签:

【中文标题】如何通过错误报告反馈链接防止网站攻击?【英文标题】:How to prevent website attacks through an error reporting feedback link? 【发布时间】:2013-03-07 02:13:34 【问题描述】:

我正在开发一个网站,该网站目前主要是 Intranet,并使用自定义身份验证。该网站需要错误报告功能。我已经在后端设置了所有内容(数据库表、相关标识符以跟踪从我的 ASP.NET MVC 网站到我的 WCF 服务的错​​误)。

当某些异常发生时,它会被记录下来,并向用户显示一个反馈表,他可以在其中填写其他详细信息。

问题在于,显然有人可能滥用该错误报告链接并开始发布一些垃圾数据,甚至可能使用该链接进行 DoS 攻击。我不想通过身份验证来保护这个页面,因为也许用户想报告他在登录时遇到了问题。

现在的问题是 - 如何防止黑客和恶意用户通过错误报告表攻击网站? 有没有已知的方法和最佳实践(除了看起来有点不合适的验证码用于企业业务应用程序)?

我希望保护尽可能简单 - 在错误报告表单本身中出现另一个异常并不好。

【问题讨论】:

验证码怎么样? 是的,我已经考虑过了,但不知何故它不适合公司业务应用程序,而且我的客户也不喜欢它。毕竟,我们应该感谢诚实的用户花时间在我们的错误报告中填写他们的反馈详细信息,但验证码可能太麻烦了。 【参考方案1】:

如果该站点仅限 Intranet,为什么您的防火墙内有这么多黑客和恶意用户? :-)

说真的,即使对于经过身份验证的用户,您也应该已经应用了最佳安全实践(例如防止跨站点脚本和 SQL 注入)。如果其中一个人的计算机上有恶意软件,导致他们的浏览器在身份验证后将恶意内容发布到 Web 表单中怎么办?

对于 .net 开发人员而言,本系列文章非常适合防御 10 大安全威胁: http://www.troyhunt.com/2011/12/free-ebook-owasp-top-10-for-net.html

一旦您对将这些最佳实践在全球范围内应用到代码中充满信心,我不明白为什么只使用 Intranet 的反馈表会提出任何进一步的问题。

【讨论】:

以上是关于如何通过错误报告反馈链接防止网站攻击?的主要内容,如果未能解决你的问题,请参考以下文章

MSF基础攻击实践报告

我可以防止共享布局用于错误消息吗?

可以防止单个应用程序的 Microsoft 错误报告吗?

如何通过友盟的错误分析报告,定位到错误代码的位置

WebAIM 对比度检查器报告错误,但手动 WAVE 对比度检查却能正常通过。

如何从网站获取SSRS报告