Y a-t-il un pare-feu d'application Web pour ASP.NET? [fermé
https://stackoverflow.com/questions/5983493
-
12-11-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je veux durcir mon site Web contre simple DOS / XSS / SQLI / etc ... mais je ne veux pas me plonger dans la programmation de sécurité pour l'instant, donc je veux utiliser une classe ou une bibliothèque prête quelque chose comme "Mod_Security" dans Linux.
Il y a environ un an, j'avais trouvé un projet comme MODSEC pour ASP.NET, mais en ce moment dans Google, j'ai trop cherché mais rien d'intéressant.
Quelqu'un sait quelque chose sur WAF dans .NET?
Cordialement.
La solution
Il n'y a pas de WAF qui fonctionnera hors de la boîte pour votre application spécifique. Vous aurez besoin de beaucoup de réglage fin pour sécuriser une application Web avec un WAF. Dans de nombreux cas, il sera plus facile de mettre en œuvre l'application avec une sécurité à l'esprit que de le faire sécuriser avec une couche supplémentaire. L'utilisation d'une instruction préparée pour une instruction SQL est beaucoup plus facile que d'essayer d'identifier et de filtrer les mauvaises entrées. Habituellement, vous voulez faire les deux (défense en profondeur) mais l'utilisation d'une instruction préparée est la meilleure option si vous souhaitez compter sur une seule mesure de protection.
Si vous souhaitez vraiment essayer de sécuriser votre application avec un WAF et que vous connaissez MOD_SECURITY, vous pouvez l'utiliser pour votre application ASP.NET. Vous avez besoin d'un serveur dédié qui agit comme un proxy inversé devant votre application. MOD_SECURITY peut y filtrer les demandes d'ingo et sortantes. J'ai récupéré les avantages et les inconvénients du Site officiel Mod_Security Concernant la configuration du proxy inverse pour vous:
Avantages
- Point d'accès unique - fonctionne comme un point d'étranglement afin que vous consolidez l'application des paramètres de sécurité et facilite la gestion.
- La topologie du réseau est cachée du monde extérieur - il sera donc plus difficile pour les attaquants d'énumérer vos plateformes Web.
- Performances accrues - Si les accélérateurs SSL / la mise en cache utilisés.
- Vous pouvez implémenter des filtres de vulnérabilité pour protéger et un serveur Web ou une application vulnérable sur le backend (IIS, netscape, asp, php, etc ...).
Désavantages
- Un goulot d'étranglement potentiel si le proxy inversé ne peut pas gérer la charge du réseau.
- Un point de défaillance potentiel - si le proxy inverse baisse, il peut entraîner un déni de service aux applications Web qui le sont derrière.
- Nécessite des modifications du réseau.
Autres conseils
Vous ne trouverez jamais un package de sécurité «une taille unique». Cependant, un pas dans la bonne direction pourrait être de jeter un œil à la bibliothèque anti-XSS et au moteur d'exécution de sécurité de Microsoft. Les deux projets peuvent être Trouvé sur Codeplex.
La description:
(Anti-xss)
AntixSS fournit une myriade de fonctions de codage pour la saisie de l'utilisateur, y compris les attributs HTML, HTML, XML, CSS et JavaScript.
Listes blanches: AntixSS diffère du codage standard .NET Framework en utilisant une approche de liste blanche. Tous les caractères qui ne sont pas sur la liste des blancs seront codés en utilisant les règles correctes pour le type de codage. Bien que cela arrive à un coût de performance, AntixSS a été écrit en pensant à la performance. Globalisation sécurisée: Le Web est un marché mondial, et les scripts croisés sont un problème mondial. Une attaque peut être codée n'importe où et anti-XSS protège désormais contre les attaques XSS codées dans des dizaines de langues.
(Sre)
Le moteur d'exécution de sécurité (SRE) fournit un emballage autour de vos sites Web existants, garantissant que les vecteurs d'attaque courants ne parviennent pas à votre application. La protection est fournie en standard pour
- Script de site croisé
- Injection SQL
Comme pour toute la sécurité Web, le WPL fait partie d'une stratégie de défense en profondeur, ajoutant une couche supplémentaire à toute validation ou pratiques de codage sécurisées que vous avez déjà adoptées.
Mon produit, VP de serveur defender Fonctionnera hors de la boîte avec ASP.NET (il vous suffit de laisser le logiciel s'exécuter en mode "journaliser uniquement" pendant un certain temps pour le laisser en savoir plus sur le trafic à venir sur votre site ou votre application). Ce pare-feu d'application Web qui était nouveau au moment où la question était à l'origine posée, mais qui est assez mature maintenant.
En termes de sécurité, ServerDefender VP protège à nouveau les menaces communes comme XSS, SQL Inject et autres. Il aide également à atteindre la conformité PCI et dispose de puissantes fonctionnalités de journalisation et d'alerte. Ce qui le distingue probablement de certaines autres options WAF, c'est sa convivialité et sa simple interface utilisateur.
Il n'y a pas de WAF qui fonctionnera hors de la boîte pour votre application spécifique
Désolé d'être en désaccord.
WAF basé sur le nuage incapula vous fournira une solution de plug-and-play hors de la boîte, et cela fonctionnera pour chaque plate-forme (y compris, bien sûr, ASP.NET). Il ne nécessitera aucune maintenance / personnalisation de votre côté (ceci se fait au niveau mondial par une équipe de sécurité dédiée) et la configuration initiale elle-même ne prendra que 5 min (effectuée via un changement de données DNS simple).
Ayant dit cela:
Cela ne fait pas partie du plan libre. Ainsi, contrairement à "mod_security", cela vous coûtera quelques dizaines de dollars par mois.
Du côté positif, contrairement à "Mod_Security" et à d'autres solutions OS et / ou cloud, il s'agit d'un WAF conforme à PCI, qui dit quelque chose sur le niveau de sécurité qu'il offre. Alto est particulièrement crucial si vous songez à gérer vos propres transactions.
Encore une fois, sur un côté plus, il s'agit d'une solution hautement personnalisable qui est livrée avec une interface graphique et une API faciles à utiliser pour les utilisateurs haut de gamme ayant des besoins spécifiques.
En tant que bonus supplémentaire, car il s'agit d'une solution basée sur le CLUB, vous obtiendrez une augmentation significative des performances, en raison des fonctionnalités de mise en cache globale et CDN.
