De la pluma de pruebas de su aplicación MVC
https://stackoverflow.com/questions/2144953
-
23-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Aquí están algunos de los comúnmente conocidos prácticas para asegurar una aplicación MVC:
- Codificar su salida
- Parametrizar SQL
- Prueba de su búsqueda hacia atrás y hacia adelante
- 1 forma de hash de contraseñas
- Bloqueo de cuentas o límite de intentos de inicio de sesión
- Utilice el código de suplantación cuando el acceso al sistema de archivos
- SQL de acceso con un nombre de usuario bloqueado
- El uso de la Miel-las ollas o los captchas para envíos de formularios para contrarrestar los bots
Si hay alguna me he perdido o alterado por favor, siéntase libre de contribuir.
¿Qué otras técnicas/mejores prácticas del uso o de pensar cuando la pluma pruebas de su propio software.¿Qué hacer para "patear los neumáticos" antes de tomar una de las aplicaciones de vivir.
Lo de la pluma servicios de pruebas de software o hacer que use si alguna?
Solución
Todos los métodos que el uso modelbinding debe ser asegurado con listas blancas o listas negras sobre propiedades enlazables.
string[] allowedProperties = new[]{ "Title", "Description"};
UpdateModel(myObject, allowedProperties);
o
[AcceptVerbs(HttpVerbs.Post)]
public ActionResult Create([Bind(Include="Title,Description")] MyObject object )
{
}
Esto es, por supuesto, para evitar que las solicitudes hechas a mano de intentar la actualización / manipular sus objetos de maneras que no estaban destinados.
Otros consejos
Tu lista es buena, aunque es un poco vago.Por ejemplo, md4 es un hash de una vía, pero su muy inseguro como puedo generar una colisión en mi escritorio en menos de un día.sha256 con un gran valor salt es un acceso más seguro.(Sé que incluso esta descripción es incompleta, no se llama)
Nunca hay un catch-all de seguridad lista de verificación que funcionarán a través de la junta.Aplicaciones específicas pueden tener vulnerabilidades específicas.A veces estos defectos pueden ser errores en la lógica de que realmente no tienen una clasificación.
El OWASP Top 10 las vulnerabilidades de aplicaciones web es un excelente recurso que se debe estudiar.Más en particular, le falta XSRF en su lista de lo que puede ser un ataque devastador.Hay un gran número de "hundir" a base de ataques que no he enumerado.Por ejemplo, lo que si un atacante podría pasar en una ruta de acceso de su elección para fopen? Un Estudio En Escarlata va por encima de muchos de estos ataques en contra de PHP.
Todas sus sugerencias se aplica a cualquier aplicación web, no sólo a las aplicaciones MVC.
Una sugerencia MVC-específicos sería algo así como "controladores flacos, modelos de grasa".
