Блог

Главная - Вопросы по программированию - Вы в безопасности при использовании Asp.net Удостоверение

Вы в безопасности при использовании Asp.net Удостоверение

#asp.net-mvc #security

#asp.net-mvc #Безопасность

Вопрос:

У меня есть приложение .Net MVC. Я использую Asp.net Идентификация для входа и ролей.

Каждый контроллер, который у меня есть, украшен [Авторизовать]

Я больше ничего не сделал в коде для защиты приложения.

Есть ли что-нибудь еще, что необходимо сделать в ordet для защиты сайта? И я не защищаю веб-сервер. Только веб-сайт.

Спасибо

Комментарии:

1. ДА… Убедитесь, что вы не уязвимы для SQL-инъекций, XSS, CSRF и т.д. и т.п… Ознакомьтесь с OWASP top 10

2. Интересная статья об этом здесь: devproconnections.com/aspnet /… а также здесь: blogs.msdn.com/b/webdev/archive/2014/03/20 /…

Ответ №1:

Добавьте поддержку защиты от подделки MVC, это в основном записывает уникальное значение в файл cookie, доступный только для HTTP, а затем то же значение записывается в форму. При отправке страницы выдается сообщение об ошибке, если значение cookie не соответствует значению формы.

Важно отметить, что эта функция предотвращает подделку межсайтовых запросов.

Как это использовать: Украсьте каждое действие контроллера, используемое для публикации данных, этим: [ValidateAntiForgeryToken] и добавьте уникальное значение в вашу форму для публикации данных, добавив в вашу форму следующее @Html.AntiForgeryToken()

Комментарии:

1. Я рассмотрю это. Архитектура моего приложения — это один pr базы данных. Клиент. И у каждого клиента будет 1-5 пользователей. И они платят за его использование, поэтому не каждый может зарегистрироваться на сайте. Поэтому, если они пишут sql-инъекцию или межсайтовый запрос, они взламывают только себя.. Но опять же, его легко просто украсить, на всякий случай… То, как я это сделал сейчас, заключается в том, что у меня есть объект customer, и у этого клиента есть отношения «один к одному» с объектом user, и этот объект user обладает всеми свойствами, относящимися к идентификатору asp. Это правильный путь? Или я должен просто поместить их в объект customer?

2. Если сайт находится в Сети и принимает входные данные от пользователей, такие как форма входа, которая, скорее всего, открыта для общественности, он будет подвержен всевозможным взломам, включая xss и т.д.

3. @user2999692 Я ответил на ваш вопрос: «Есть ли что-нибудь еще, что необходимо сделать в ordet для защиты сайта?»