.net – 使用新技术时的安全问题

前端之家收集整理的这篇文章主要介绍了.net – 使用新技术时的安全问题前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
您是否发现当您使用新技术时,您绝对不会确定您的代码中有什么安全漏洞?

我一直在使用ASP.Net Web窗体大约5年,我相信我的代码至少足够安全,可以阻止大多数已知的攻击。回顾我早期的许多代码,我不知不觉地在许多安全领域留下了空白,特别是查询字符串和viewstate,但是随着时间的推移,我知道漏洞是什么,并确保我没有再犯同样的错误

不过我最近在ASP.Net MVC中开始了一个新的项目,我真的不知道我打开什么安全漏洞。只是这个原因,几乎让我不得了。我正在读书,就像疯狂的一样,但我确信我没有学到足够的东西,使它像Web表单一样安全。你们做什么来确保你不让自己开放攻击?

编辑:开始赏金好奇,看看有没有什么意见

解决方法

这是一个非常困难的问题,可能没有什么好的答案。但是,有几件事可以做,以增加在使用新技术时保持安全的可能性。

>记住以下几点:有三种类型的漏洞。您正在使用的框架(例如,Ruby on Rails公共控制器问题)是独一无二的,对于您构建的应用程序类型(例如Web应用程序必须担心XSS)和您的应用程序唯一的那些尤其是。
>确定您正在使用的新技术如何减轻应用程序类型的安全漏洞。例如,ASP.Net MVC如何缓解XSS?如何缓解sql注入?如果文档中没有答案,那么就弄清楚你将如何解决这些常见类型的漏洞。此外,暂停,因为如果框架不能缓解这些问题,那么也许框架开发人员没有优先考虑安全性,并且可能没有编写非常强大的框架。
找出你为什么需要安全性和你想要保护的东西。例如:您的应用程序在查看敏感数据之前是否需要授权?如果是这样,确定框架为授权提供哪些功能
>在文档中查找安全性部分。通常已知的问题已被记录在案,但人们非常关注如何解决问题,以免他们找不到问题。
>防守守则,并注意用户输入的使用方式。慷慨地定义什么是用户输入。例如,querystring或post字段是显而易见的,但是在许多MVC框架中,URL指示运行什么代码(例如,参见Ruby Routes漏洞)。非常了解数据的处理方式
>压力测试您的业务逻辑,并弄清楚如何可能被滥用。

简而言之:仔细处理用户输入,阅读现有文档,确定需要哪些安全性,并弄清楚框架如何缓解常见漏洞类。意识到安全是重中之重,注意力是战斗的50%。

猜你在找的asp.Net相关文章