Security MVC 5安全措施_Security_Asp.net Mvc 5_Asp.net Identity 2_Antiforgerytoken_Html Sanitizing

Security MVC 5安全措施

security asp.net-mvc-5

Security MVC 5安全措施,security,asp.net-mvc-5,asp.net-identity-2,antiforgerytoken,html-sanitizing,Security,Asp.net Mvc 5,Asp.net Identity 2,Antiforgerytoken,Html Sanitizing,我正在开发一个MVC5互联网应用程序，在安全方面有一些问题我需要手动实施哪些安全措施来确保我的internet应用程序是安全的这就是我到目前为止所做的： [ValidateAntiForgeryToken]每个HttpPost函数上的属性在具有HTML 资料身份验证和授权的标识2.1 提前谢谢更新该应用程序是一个简单的MVC互联网应用程序，其web服务托管在Azure上。我正在使用EntityFramework6、WebAPI2.0和MVC5。我可以给您提供哪些相关信息？这些信息

我正在开发一个MVC5互联网应用程序，在安全方面有一些问题

我需要手动实施哪些安全措施来确保我的internet应用程序是安全的

这就是我到目前为止所做的：

```
[ValidateAntiForgeryToken]
```
每个
```
HttpPost
```
函数上的属性
在具有
```
HTML
```
资料
身份验证和授权的标识2.1

提前谢谢

更新

该应用程序是一个简单的MVC互联网应用程序，其web服务托管在Azure上。我正在使用EntityFramework6、WebAPI2.0和MVC5。我可以给您提供哪些相关信息？

这些信息将涵盖您的XSRF和。您还应检查：

javascript中的DOM XSS（例如，当使用查询字符串中的数据修改DOM时）
JSON劫持
代码注入（例如，如果您使用的是SQL DB，则为SQL注入）
强制HTTPS登录（登录表单和登录帖子）
。。。等等

最常见的漏洞不是技术漏洞，例如，您应该：

减少您信任的来自客户端的数据。例如，如果您有一个购物车，在购买表单中将价格作为一个隐藏字段似乎是一个好主意，因此服务器不需要去DB获取该产品的价格，但是用户可能会篡改表单，以0美元甚至-100美元的价格购买
检查用户是否无法愚弄多步骤表单，例如，允许用户在不通过付款页面的情况下订购产品
检查如果应用程序按名称返回文件，则不能执行类似
```
http://example.com/Home/GetFile?filename=..\..\Web.config
```
检查您是否在执行身份验证之外的授权。例如，用户123可被认证，但未被授权检查用户456简档
。。。等等

最好的办法是查看OSWASP页面：

这取决于应用程序的功能。我假设您已经在使用https来保护与客户的通信。如果您使用一些SQL数据库，则需要确保自己免受SQL注入攻击。您可以采取以下措施来防止/应对DDOS攻击以及更多。没有更多的信息很难说。