3
我正在尋找最好的可重用的庫和ASP.Net的內置功能,以防止像注射,XSS,CSRF等OWASP前10安全漏洞,也很容易使用工具來檢測這些漏洞供測試團隊使用。最好的圖書館/做法,以防止OWASP前10漏洞
您認爲何時開始在開發生命週期中將安全編碼整合到應用程序中的最佳時機?
A
回答
4
我的兩分錢:
- 永遠不要相信用戶的輸入。這包括形式,餅乾,參數,請求...
- 保持您的庫更新。我們中間每天都有安全漏洞。修補程序已發佈,但如果您不應用它們或升級您的庫,它們就毫無價值。
- 限制性和偏執性。如果你需要用戶寫他的名字,那麼限制一下,讓他只使用[A-Z]字符等等。嚴格的約束會打擾一般用戶,但它會讓你的系統更安全。
- 從不記錄關鍵數據。這意味着你不應該記錄用戶使用的密碼(顯而易見),而且你也不應該試圖記錄用戶登錄系統失敗時輸入的密碼(因爲他可能容易犯錯誤猜測)。您可以將此示例擴展到所有關鍵數據。記住,如果它不在那裏,你不必擔心有人試圖獲得它。
- 需要在GET和POST參數,不僅餅乾認證;
- 檢查HTTP Referer頭;
- 確保有沒有crossdomain.xml文件授予意外的存取對 Flash影片[14]
- 限制驗證cookie的生命週期
- 當處理POST,無視URL參數,如果你知道自己應該 來自形式
- 要求在所有表單提交和 副作用URL中使用一個祕密的用戶特定標記可防止CSRF;該 攻擊者的網站不能把正確的 令牌在其提交
3
第一個最佳實踐:在編碼時注意漏洞。如果你想知道你在做什麼。
+0
這是有道理的。在任何編碼開始之前教育團隊會更好。 – 2010-07-06 11:49:25
4
我的經驗是,僅僅給開發者工具箱,並希望最好不實際工作那麼好。安全性是代碼質量的一個方面。安全問題是錯誤。就像所有的bug一樣,即使是知道更好的開發者,最終也會寫出它們。解決這個問題的唯一方法就是建立一個流程來捕捉錯誤。
想想你需要什麼樣的安全過程。僅自動測試?代碼審查?手動黑盒測試?設計文件審查?你將如何分類bug跟蹤系統中的安全問題?您如何確定解決安全漏洞的優先級?你可以給客戶什麼樣的保證?
的東西,可以幫助你開始是OWASP的ASVS驗證標準,它可以幫助您確認您的安全認證處理實際工作:http://code.google.com/p/owasp-asvs/wiki/ASVS
相關問題
- 1. 防止XSS漏洞
- 2. 防止圖書館訪問
- 3. 防止ckeditor中的漏洞?
- 4. 如何防止Meteor.user()的計時漏洞?
- 5. 防止XSS漏洞的措施(如前幾天的推特)
- 6. 防止格式化字符串漏洞
- 7. 如何使用Struts防止XSS漏洞
- 8. 防止後退按鈕漏洞? PHP
- 9. 圖書館做差異
- 10. SOA:圖書館vs服務:圖書館可以是更好的選擇嗎?
- 11. 頻繁項集最好的算法和圖書館
- 12. 防止CSRF漏洞,CSRF的替代方法令牌
- 13. 圖書館對圖書館的引用
- 14. Memcached最佳圖書館
- 15. 有沒有好的圖書館做NMF快?
- 16. 防止訪問飛鏢中的某些圖書館
- 17. 最好的方法來防止更新
- 18. 輸入檢查的PHP。最好的圖書館/框架?
- 19. 防止使用谷歌關閉圖書館
- 20. iOS:防止圖書館崩潰整個應用程序
- 21. 修復java中使用OWASP的跨站腳本漏洞
- 22. 最好的圖書館通過node.js上傳文件?
- 23. 這是一個最好的jQuery或JavaScript圖書館?我
- 24. 最好的免費圖書館OCR在ios
- 25. 什麼是最好的圖書館與檔案工作
- 26. CSG圖書館做體積差異?
- 27. 圖書館在java中做內省?
- 28. 圖書館與圖書館項目與外部圖書館的區別
- 29. 嘲笑圖書館方法
- 30. 最好的圖書館,以解壓縮在asp.net MVC3文件和.net4.0
我認爲,要防止安全漏洞,最好使用比最佳庫的最佳實踐。 – pakore 2010-07-06 11:32:14
我想是的。這就是我的意思。 – 2010-07-06 11:34:42