Security Best Practices für asp.net MVC-Sites?

Question

Ich suchte alle über das Internet eine Anleitung über die Sicherheitsverfahren für eine wirklich gesichert Website wie ein Online-Banking-Seite zu bekommen versucht und jeder konnte nicht gefunden werden.

Mein Interesse ist, zu wissen, welche Praktiken Sie in folgenden Bereichen verwenden:

1. Kommunikation :. Auf jeden Fall mit SSL ... irgendwelche zusätzliche Tipps zum Schutz gegen "Man-in-the-middle" -Angriffe
2. Authentication :. Benutzername + Passwort + captcha + Fristen + regelmäßige Änderungen erzwingen
3. Navigation zwischen den einzelnen Seiten: Gibt es so etwas
4. Prevent XSS und XSRF: bereits in der Plattform.
5. Verschlüsseln sensibler Daten auf Client und Server: wie, was genau? sollte es auf dem Client sensible Daten sein?
6. Fine Tuned Genehmigung :. Ein- / Ausblenden + Befehle ausführen + Berechtigungen
7. Revision ? was? und wie diese unterscheidet sich von der Protokollierung.
8. Seite Level-Sicherheit: verhindern Manipulation in Seiteninhalt
(Haben wir das wirklich brauchen?)

Und wie Penetrationsversuche zu erkennen? Monitor IPs, sperren bestimmte Konten ...? Gibt es eine Möglichkeit zu testen oder simulieren Bedrohungen?

Answer 1

würde ich mit PCI-DSS-Führung als Basis beginnen, die Daten zu schützen.

PCI-DSS die Payment Card Industry Data Security Standard ist. Es ist die Industrie erste Leitlinien festgelegt werden versuchen, für Daten rund um den Bankenbereich zu schützen. Die Richtlinien sind speziell für die Karteninhaberdaten, sondern sind eine großartige Ressource für den Schutz von Daten im Allgemeinen. PCI-Anforderungen umfassen jährliche Vor-Ort-Audits und vierteljährlich Netzwerk-Scans.

Eine weitere gute Ressource ist OWASP die Angebote Leitlinien für die Sicherheit von Web-Anwendungen im allgemeinen

OWASP geht in eine Menge von Details darüber, wie Bedrohungsmodellierung, Test auf (und richtig) gemeinsam Schwachstellen durchzuführen. Für den schnellen Start Kopf auf den OWASP Top Ten