我正在寻找ASP.Net中最好的可重用库和内置功能,以防止OWASP十大安全漏洞,如注入,XSS,CSRF等,以及易于使用的工具来检测这些漏洞供测试团队使用 .
您认为在开发生命周期中何时开始将安全编码合并到应用程序中的最佳时机?
我的两分钱:
Never ever trust user input. 这包括表格,cookies,参数,请求......
Keep your libraries updated . 我们之间出现了日常安全漏洞 . 修补程序已发布,但如果您不应用它们/升级您的库,它们就毫无 Value .
Be restrictive and paranoid . 如果您需要用户写下他的名字,那就是限制性的,让他只使用[A-z]字符等等 . 强约束会惹恼普通用户,但它会使您的系统更安全 .
Never log critical data . 这意味着您不应该记录诸如用户使用的密码(显而易见)之类的内容,但是您也不应该记录用户在登录系统时输入的密码(因为他可能容易输入错字)猜测) . 您可以将此示例扩展到所有关键数据 . 请记住,如果它不得不担心有人试图获得它 .
并从wikipedia's CSFR article中提取:
要求在GET和POST参数中进行身份验证,而不仅仅是cookie;检查HTTP Referer标头;确保没有crossdomain.xml文件授予对Flash电影的意外访问权限[14]限制身份验证Cookie的生命周期处理POST时,如果您知道它们应来自某个表单,请忽略URL参数需要所有形式的特定于用户的秘密令牌提交和副作用URL阻止CSRF;攻击者的网站无法在其提交的内容中加入正确的令牌
我的经验是,只给开发人员一个工具箱并希望最好的并不能真正发挥作用 . 安全性是代码质量的一个方面 . 安全问题是错误 . 像所有的错误一样,即使是更了解的开发人员也会最终编写它们 . 解决这个问题的唯一方法是有一个流程来捕获错误 .
想想您需要什么样的安全流程 . 仅自动测试?代码审查?手动黑盒测试?设计文件审查?您将如何在错误跟踪系统中对安全问题进行分类?您将如何确定修复安全漏洞的优先级?您能够向客户提供什么样的保证?
OWASP ASVS验证标准可以帮助您验证您的安全验证过程是否真正有效:http://code.google.com/p/owasp-asvs/wiki/ASVS
第一个最佳实践:在编码时注意漏洞 . 如果你编码想想你正在做什么 .
3 回答
我的两分钱:
Never ever trust user input. 这包括表格,cookies,参数,请求......
Keep your libraries updated . 我们之间出现了日常安全漏洞 . 修补程序已发布,但如果您不应用它们/升级您的库,它们就毫无 Value .
Be restrictive and paranoid . 如果您需要用户写下他的名字,那就是限制性的,让他只使用[A-z]字符等等 . 强约束会惹恼普通用户,但它会使您的系统更安全 .
Never log critical data . 这意味着您不应该记录诸如用户使用的密码(显而易见)之类的内容,但是您也不应该记录用户在登录系统时输入的密码(因为他可能容易输入错字)猜测) . 您可以将此示例扩展到所有关键数据 . 请记住,如果它不得不担心有人试图获得它 .
并从wikipedia's CSFR article中提取:
我的经验是,只给开发人员一个工具箱并希望最好的并不能真正发挥作用 . 安全性是代码质量的一个方面 . 安全问题是错误 . 像所有的错误一样,即使是更了解的开发人员也会最终编写它们 . 解决这个问题的唯一方法是有一个流程来捕获错误 .
想想您需要什么样的安全流程 . 仅自动测试?代码审查?手动黑盒测试?设计文件审查?您将如何在错误跟踪系统中对安全问题进行分类?您将如何确定修复安全漏洞的优先级?您能够向客户提供什么样的保证?
OWASP ASVS验证标准可以帮助您验证您的安全验证过程是否真正有效:http://code.google.com/p/owasp-asvs/wiki/ASVS
第一个最佳实践:在编码时注意漏洞 . 如果你编码想想你正在做什么 .