Intranet开发人员制作面向公众的网站的安全注意事项

作者: 离线请留言
发布时间: 2024-12-23 06:48:13 (1月前)
转自：

8 条回复

0#
回复此人
是吗@ | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 构建面向公众的网站时，偏执狂是你的朋友。 </p> <P> 你的cookie是加密的吗？通过自定义HttpModule很容易实现。这是普通SSL的基础。 </p> <P> 是的，你需要担心sql注入。并非所有ORM都是平等的。我们最近在LINQ的某些条件下发现了sql注入问题。不要相信任何为您编写查询的内容。 </p> <P> 如果这涉及敏感信息，请添加代码以防止重放攻击。基本上，假设某人离开您的服务器将被捕获。 </p> </DIV>

编辑
1#
回复此人
v-star*위위 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 您对安全性有多严重？ </p> <P> 出于安全考虑，存在RFC标准。 </p> <P> <a href="http://www.faqs.org/rfcs/rfc3552.html" rel="nofollow noreferrer"> http://www.faqs.org/rfcs/rfc3552.html </A> </p> <P> 贯穿它（42页或那里）。它包含大多数安全注意事项创建新RFC时，您将使用此文档指导您完成注意事项。 </p> </DIV>

编辑
2#
回复此人
记忆只剩空城 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <UL> <LI> <P> 清理客户端发送的任何输入您。 POST / GET数据可能是最容易伪造，但绝对是不是全部。 </p> </LI> <LI> <P> 不要单独依赖JavaScript 任何安全措施，因为可以就像被绕过一样容易。 </p> </LI> <LI> <P> 确保您有安全的政策用于密码恢复（例如，不是只是一个“秘密问题”） </p> </LI> <LI> <P> 有某种蛮力保护，例如CAPTCHA </p> </LI> </UL> </DIV>

编辑
3#
回复此人
一腔诗意喂了狗 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <UL> <LI> 帐号锁定（30分钟）后几次失败，以防止暴力强制。 </LI> <LI> 将SSL视为注册和登录页面的选项。 </LI> <LI> 用户类上的IsInRole函数是管理用户操作安全性的简便方法。 </LI> <LI> 对任何“记住我”功能使用令牌。确保此令牌的生成是加密安全的。 </LI> <LI> 仅使用参数化查询，以防止注入。 </LI> <LI> 加密cookie。 </LI> <LI> <a href="http://msdn.microsoft.com/en-us/library/aa973813.aspx" rel="nofollow noreferrer"> Microsoft Anti-XSS </A> </LI> <LI> 偏执狂。 </LI> </UL> <P> 有很多考虑因素。与往常一样，这将是一项正在进行中的工作。 </p> </DIV>

编辑
4#
回复此人
！啊啊 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 有关Web应用程序漏洞的详尽目录，最重要的解决方案以及帮助编写更安全代码的开发实践，请查看 <a href="http://www.owasp.org/" rel="nofollow noreferrer"> OWASP </A> 和 <a href="http://www.owasp.org/index.php/Category:OWASP_CLASP_Project" rel="nofollow noreferrer"> 扣。 </A> </p> </DIV>

编辑
5#
回复此人
别闹 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 检查所有控制器操作的授权，包括GET和POST。不是为会话授权，而是为每个请求再次授权。 </p> <P> 服务器验证是必须的。还在数据库级别上强制执行一些数据完整性。一旦发现某些异常情况就会失败。不要试图恢复和处理所有可能的场景以取悦用户。 </p> <P> 不要依赖用户标识，例如存储在cookie中的用户名。它可以被替换。添加更多和独特的东西。 Cookie也可能被盗并转移到另一台PC。考虑选择检查IP地址（例如）以确保您不被欺骗。 </p> <P> 限制每个时间单位的用户操作量。不允许在一分钟内提交100个提交。 </p> <P> 所有用户输入都必须进行清理。是的，担心SQL注入。 </p> <P> 不要以纯文本格式存储密码。哈希他们。如果有人闯入您的系统，他们可以通过假设用户拥有相同的密码来访问他的电子邮件帐户，银行系统等来滥用密码。 </p> <P> 另一个好主意可能是不使用公共昵称，电子邮件或公开的其他名称作为登录名。允许用户使用登录名执行登录操作，并使用其他名称在网站上公开表示。 </p> <P> 实际上，看看这个帖子。它对这种知识有一个很好的总结。 </p> <P> <a href="https://stackoverflow.com/questions/72394/what-should-a-developer-know-before-building-a-public-web-site"> 开发人员应该知道什么 <EM> 之前 </EM> 建立一个公共网站？ </A> </p> </DIV>

编辑
6#
回复此人
哈哈 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <UL> <LI> 所有用户输入都被视为会破坏您的服务器（XSS） </LI> <LI> 来自/来自数据库的所有信息都是魔鬼，必须被清理（SQL注入） </LI> <LI> 如果你不小心，cookie怪物会得到你。 </LI> <LI> 程序就好像Javascript已关闭，但为拥有它的用户提供功能 </LI> </UL> </DIV>

编辑

登录后才能参与评论