mejores prácticas de seguridad para los sitios de asp.net mvc?

Question

he buscado por toda la Internet tratando de conseguir una orientación acerca de las prácticas de seguridad de un sitio realmente asegurado como un sitio de banca en línea y no encontró ninguna.

Mi interés es conocer cuáles son las prácticas que está utilizando en las áreas siguientes:

1. Comunicación :. Definitivamente el uso de SSL ... algún consejo adicional para proteger contra los ataques "man-in-the-middle"
2. Autenticación . Nombre de usuario + contraseña + + código de imagen plazos + imponen cambios regulares
3. La navegación entre páginas: ¿Existe tal cosa
4. Prevenir XSS y XSRF: ya en la plataforma.
5. Cifrar los datos sensibles en el cliente y el servidor: como lo que exactamente? debe haber datos sensibles en el cliente?
6. Fine Tuned autorización . Mostrar / ocultar + ejecutar comandos + permisos
7. Auditoría ? Qué ? y cómo esto difiere de la tala.
8. Página de seguridad de nivel: evitar la manipulación en el contenido de la página
(No necesitamos en realidad?)

Y cómo detectar los intentos de penetración? IPs del monitor, Lock ciertas cuentas ...? ¿Hay una manera de probar o simulen las amenazas?

Answer 1

Me gustaría empezar con la guía PCI-DSS como línea de base para la protección de los datos.

PCI-DSS es el pago con tarjeta de Seguridad de Datos de la Industria. Es las industrias primer intento de establecer las directrices para la protección de datos en todo el área bancaria. Las directrices son específicamente para los datos de los titulares, pero son un gran recurso para la protección de datos en general. requisitos de PCI incluyen auditorías anuales en el lugar, y los análisis de red trimestrales.

Otro buen recurso es OWASP cuales orientación ofertas en la seguridad de las aplicaciones web en general

OWASP entra en muchos detalles acerca de cómo realizar el modelado de amenazas, prueba para (y correcta) vulnerabilidades comunes. Para el jefe de inicio rápido para el OWASP Top Ten