Security MVC 5安全措施
我正在开发一个MVC5互联网应用程序,在安全方面有一些问题 我需要手动实施哪些安全措施来确保我的internet应用程序是安全的 这就是我到目前为止所做的:Security MVC 5安全措施,security,asp.net-mvc-5,asp.net-identity-2,antiforgerytoken,html-sanitizing,Security,Asp.net Mvc 5,Asp.net Identity 2,Antiforgerytoken,Html Sanitizing,我正在开发一个MVC5互联网应用程序,在安全方面有一些问题 我需要手动实施哪些安全措施来确保我的internet应用程序是安全的 这就是我到目前为止所做的: [ValidateAntiForgeryToken]每个HttpPost函数上的属性 在具有HTML 资料 身份验证和授权的标识2.1 提前谢谢 更新 该应用程序是一个简单的MVC互联网应用程序,其web服务托管在Azure上。我正在使用EntityFramework6、WebAPI2.0和MVC5。我可以给您提供哪些相关信息?这些信息
每个[ValidateAntiForgeryToken]
函数上的属性HttpPost
- 在具有
资料HTML
- 身份验证和授权的标识2.1
该应用程序是一个简单的MVC互联网应用程序,其web服务托管在Azure上。我正在使用EntityFramework6、WebAPI2.0和MVC5。我可以给您提供哪些相关信息?这些信息将涵盖您的XSRF和。您还应检查:
- javascript中的DOM XSS(例如,当使用查询字符串中的数据修改DOM时)
- JSON劫持
- 代码注入(例如,如果您使用的是SQL DB,则为SQL注入)
- 强制HTTPS登录(登录表单和登录帖子)
- 。。。等等
- 减少您信任的来自客户端的数据。例如,如果您有一个购物车,在购买表单中将价格作为一个隐藏字段似乎是一个好主意,因此服务器不需要去DB获取该产品的价格,但是用户可能会篡改表单,以0美元甚至-100美元的价格购买
- 检查用户是否无法愚弄多步骤表单,例如,允许用户在不通过付款页面的情况下订购产品
- 检查如果应用程序按名称返回文件,则不能执行类似
http://example.com/Home/GetFile?filename=..\..\Web.config
- 检查您是否在执行身份验证之外的授权。例如,用户123可被认证,但未被授权检查用户456简档
- 。。。等等
最好的办法是查看OSWASP页面:这取决于应用程序的功能。我假设您已经在使用https来保护与客户的通信。如果您使用一些SQL数据库,则需要确保自己免受SQL注入攻击。您可以采取以下措施来防止/应对DDOS攻击以及更多。没有更多的信息很难说。