Warning: file_get_contents(/data/phpspider/zhask/data//catemap/6/asp.net-mvc-3/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Asp.net mvc 3 没有用户登录功能的网站需要什么样的安全性?_Asp.net Mvc 3_Security_Xss_Sql Injection - Fatal编程技术网

Asp.net mvc 3 没有用户登录功能的网站需要什么样的安全性?

Asp.net mvc 3 没有用户登录功能的网站需要什么样的安全性?,asp.net-mvc-3,security,xss,sql-injection,Asp.net Mvc 3,Security,Xss,Sql Injection,所以我在谷歌上搜索这个问题,找不到任何清晰的例子,因为几乎所有相关的故事都是关于用户登录的网站等 所以我的场景如下,asp.NETMVC3网站,没有用户登录,什么都没有。 我确实有一些表格,联系方式和一些计算功能 我使用Nhibernate,并且在代码本身中有我的Smtp服务器凭据,而不是在web.config中。我还有一个自定义错误页面,post方法具有[HttpPost]属性 作为最后一个特性,我有一个AJAX/json get方法来获取标题列表(此控制器方法具有[AcceptVerbs(H

所以我在谷歌上搜索这个问题,找不到任何清晰的例子,因为几乎所有相关的故事都是关于用户登录的网站等

所以我的场景如下,asp.NETMVC3网站,没有用户登录,什么都没有。 我确实有一些表格,联系方式和一些计算功能

我使用Nhibernate,并且在代码本身中有我的Smtp服务器凭据,而不是在web.config中。我还有一个自定义错误页面,post方法具有[HttpPost]属性

作为最后一个特性,我有一个AJAX/json get方法来获取标题列表(此控制器方法具有[AcceptVerbs(HttpVerbs.get)]属性)

我是否遗漏了一些安全漏洞(sql注入、跨站点脚本)


谢谢大家

您仍然容易受到DDoS和DoS攻击,如果您不使用https,那么您将容易受到MiM攻击

尽管NHibernate和ASP.NET MVC3应该为您覆盖大部分曲目。如果他们没有正确的表单验证客户端和服务器端,并且数据库输入没有经过消毒,我会非常惊讶

您如何管理您的数据你有管理员登录吗


如果是这样的话,让你保护它,为了增加措施,不要把它放在
/login/
/admin/

从这里开始:

您不会受到攻击的唯一类型是任何类型的身份验证绕过或权限提升。OWASP前10名(以及SAN前25名)的其余部分仍然适用


尽管存在典型的SQL注入和XSS漏洞,但仍存在许多其他“注入”类型的漏洞,如操作系统命令注入和路径遍历,您应该注意这些漏洞。不要忘记,您还应该注意保护您的托管环境(强化web服务器、应用程序服务器和服务器本身)。

我仍在管理面板上工作,目前,更新数据的唯一方法是与数据库直接连接。谢谢你的提示!使用框架不会自动保护您免受典型常见漏洞的影响。我见过很多人用NHibernate编写SQL——只需要一个可注入查询就可以破坏整个数据库。至于MVC,它几乎可以保护您免受任何损失。这些东西不是神奇的药丸;您仍然需要了解这些问题,并知道如何防范它们。至于/login/admin等等——虽然这是一个非常合理的建议,但这是含糊不清的,而不是安全性。我突然把你放了回去,因为有人投票否决了你,我只能推测这是你狂野的第一句话。我会重新评估,如果你想保持平衡,用户登录的存在对网站的潜在安全漏洞没有多大影响。无论何时处理来自用户的任何输入(无论是否登录),您都面临着恶意行为的风险,因此包括所有URL、查询字符串数据、表单帖子数据、cookies、http标题等。按照Tony的建议,从前十名开始,继续阅读OWASP,以了解更多关于webapp漏洞以及如何避免这些漏洞的信息。