保護asp.net web應用程序的步驟清單？

Question

我想確保ASP.NET Web應用程序免受黑客攻擊。有沒有特定的ASP.NET編碼明智的任務列表，使ASP.NET更安全？超出MSDN提及的內容。我對使用代碼示例的具體步驟感興趣，以避免跨站點請求僞造&跨站點腳本。

我知道有關連接到SQL Server時使用的SQL參數SQL注入，Windows身份驗證和驗證表單輸入的服務器上。

Answer 1

從Microsoft-
http://msdn.microsoft.com/en-us/library/ms998249.aspx

更詳細的checklist-
http://technotes.towardsjob.com/dotnet/asp-net-developers-checklist-security-checklist/

Answer 2

的OWASP（開放Web應用安全項目）有十大Web應用程序漏洞的列表方便： http://www.owasp.org/index.php/Top_10_2007

這裏是一個微軟反跨網站腳本庫1.5教程： http://msdn.microsoft.com/en-us/library/aa973813.aspx

這裏有一個非常豐富的，雖然不是很知名的安全資源，在ASP.NET 2.0互聯網安全參考實現 - 基本模式&做法：

最後但並非最不重要的，這裏是在一個視頻建築背後CAT.NET： http://channel9.msdn.com/posts/Jossie/Architecture-behind-CATNET/

下載CAT.NET工具的最新版本在這裏（32位和64位）： http://bit.ly/164BlV

Answer 3

Top Ten Security Threads
How To: Prevent Cross-Site Scripting in ASP.NET
How To: Protect From Injection Attacks in ASP.NET
How To: Protect From SQL Injection in ASP.NET
How To: Use Regular Expressions to Constrain Input in ASP.NET

我閱讀了上面的文章之後，
我用asp.net技術總結防治的方式，和Entity Framework。

注射遵守
-Enable Asp.net要求在asp.net web配置文件驗證。
- 在asp.net web配置文件中打開自定義錯誤模式。
- 使用服務器端輸入驗證控件來約束輸入。
- 驗證系統每個輸入的長度，範圍，格式和類型。
- 使用強大的數據類型。
- 使用HttpUtility.HtmlEncode對每個自由文本字段和不安全的輸出進行編碼。使用System.IO.Path.GetFileName和System.IO.Path.GetFullPath
-Validate文件路徑。
- 使用Request.MapPath將提供的虛擬路徑映射到服務器上的物理路徑。
- 通過使用Linq to Entities查詢語法防止SQL注入攻擊。

殘破的認證和會話管理合規性爲用戶的敏感數據
- 使用鹽漬哈希方法。
- 爲每個憑據數據使用SSL/TLS協議。
- 定義的會話超時正確。

跨站點腳本（XSS）遵守
- 使用正則表達式來約束在ASP.NET關鍵輸入字段。
- 使用ASP.net的RegularExpressionValidator和RangeValidator控件來約束服務器側輸入控件。
- 對來自用戶或其他來源（例如數據庫）的每個輸入進行編碼。

不安全的直接對象引用符合
-Give只有特定的用戶/組訪問您的項目及其相關的文件夾。

安全配置錯誤遵守
-Show只自定義錯誤消息給用戶。

敏感數據暴露符合
- 使用現代的加密算法來加密所有敏感數據。

缺少功能級訪問控制達標
- 確保您的系統菜單和節目單都是基於用戶授權級別填充。
- 確保您的系統檢查響應用戶請求之前，如果它是有效的爲他\她。

跨站請求僞造（CSRF）遵守
- 使用CAPTCHA圖像以確保沒有由計算機生成的請求。
- 使用CSRF Token，以確保由您的服務器只創建了發送請求（S）到你的服務器的特定頁面。

使用已知的易損部件符合
-always保持部件/庫更新。

未經驗證的重定向和轉發符合
- 確保，您的系統經常檢查，如果網址和它的參數是有效的或者不被重定向之前。