Asp.net mvc 3 没有用户登录功能的网站需要什么样的安全性？_Asp.net Mvc 3_Security_Xss_Sql Injection

Asp.net mvc 3 没有用户登录功能的网站需要什么样的安全性？

asp.net-mvc-3 security

Asp.net mvc 3 没有用户登录功能的网站需要什么样的安全性？,asp.net-mvc-3,security,xss,sql-injection,Asp.net Mvc 3,Security,Xss,Sql Injection,所以我在谷歌上搜索这个问题，找不到任何清晰的例子，因为几乎所有相关的故事都是关于用户登录的网站等所以我的场景如下，asp.NETMVC3网站，没有用户登录，什么都没有。我确实有一些表格，联系方式和一些计算功能我使用Nhibernate，并且在代码本身中有我的Smtp服务器凭据，而不是在web.config中。我还有一个自定义错误页面，post方法具有[HttpPost]属性作为最后一个特性，我有一个AJAX/json get方法来获取标题列表（此控制器方法具有[AcceptVerbs（H

所以我在谷歌上搜索这个问题，找不到任何清晰的例子，因为几乎所有相关的故事都是关于用户登录的网站等

所以我的场景如下，asp.NETMVC3网站，没有用户登录，什么都没有。我确实有一些表格，联系方式和一些计算功能

我使用Nhibernate，并且在代码本身中有我的Smtp服务器凭据，而不是在web.config中。我还有一个自定义错误页面，post方法具有[HttpPost]属性

作为最后一个特性，我有一个AJAX/json get方法来获取标题列表（此控制器方法具有[AcceptVerbs（HttpVerbs.get）]属性）

我是否遗漏了一些安全漏洞（sql注入、跨站点脚本）

谢谢大家

您仍然容易受到DDoS和DoS攻击，如果您不使用https，那么您将容易受到MiM攻击

尽管NHibernate和ASP.NET MVC3应该为您覆盖大部分曲目。如果他们没有正确的表单验证客户端和服务器端，并且数据库输入没有经过消毒，我会非常惊讶

您如何管理您的数据你有管理员登录吗

如果是这样的话，让你保护它，为了增加措施，不要把它放在

/login/

或

/admin/

上

从这里开始：

您不会受到攻击的唯一类型是任何类型的身份验证绕过或权限提升。OWASP前10名（以及SAN前25名）的其余部分仍然适用

尽管存在典型的SQL注入和XSS漏洞，但仍存在许多其他“注入”类型的漏洞，如操作系统命令注入和路径遍历，您应该注意这些漏洞。不要忘记，您还应该注意保护您的托管环境（强化web服务器、应用程序服务器和服务器本身）。

我仍在管理面板上工作，目前，更新数据的唯一方法是与数据库直接连接。谢谢你的提示！使用框架不会自动保护您免受典型常见漏洞的影响。我见过很多人用NHibernate编写SQL——只需要一个可注入查询就可以破坏整个数据库。至于MVC，它几乎可以保护您免受任何损失。这些东西不是神奇的药丸；您仍然需要了解这些问题，并知道如何防范它们。至于/login/admin等等——虽然这是一个非常合理的建议，但这是含糊不清的，而不是安全性。我突然把你放了回去，因为有人投票否决了你，我只能推测这是你狂野的第一句话。我会重新评估，如果你想保持平衡，用户登录的存在对网站的潜在安全漏洞没有多大影响。无论何时处理来自用户的任何输入（无论是否登录），您都面临着恶意行为的风险，因此包括所有URL、查询字符串数据、表单帖子数据、cookies、http标题等。按照Tony的建议，从前十名开始，继续阅读OWASP，以了解更多关于webapp漏洞以及如何避免这些漏洞的信息。