Meilleures pratiques de sécurité pour les sites de mvc asp.net?
https://stackoverflow.com/questions/3930655
-
30-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
J'ai cherché sur Internet en essayant d'obtenir un guide sur les pratiques de sécurité pour un site vraiment sécurisé comme un site de banque en ligne et n'a trouvé aucune.
Mon intérêt est de savoir quelles sont les pratiques que vous utilisez dans les domaines suivants:
- Communication :. Utilisant SSL certainement ... des conseils supplémentaires pour protéger contre "man-in-the-middle"
- Authentification :. Nom d'utilisateur + mot de passe + captcha + limites + temps appliquer des changements réguliers
- Navigation entre les pages: Y at-il une telle chose
- Prévenir XSS et XSRF: déjà la plate-forme.
- Chiffrer les données sensibles sur le client et le serveur: comme quoi exactement? devrait y avoir des données sensibles sur le client?
- peaufiné Autorisation :. Afficher / cacher + exécuter des commandes + autorisations
- Audit ? quelle ? et comment cela diffère de l'exploitation forestière.
- Page sécurité niveau: éviter la manipulation dans le contenu de la page (Avons-nous vraiment besoin de cela?)
Et comment détecter les tentatives de pénétration? IP Monitor, verrouillage certains comptes ...? Y at-il un moyen de tester ou simulent des menaces?
La solution
Je commencerais avec des directives PCI-DSS comme base de référence pour la protection des données.
PCI-DSS est la carte de paiement standard des données du secteur de la sécurité. Ce sont les industries d'abord tenter d'établir des lignes directrices pour la protection des données dans le secteur bancaire. Les lignes directrices sont spécifiquement pour les titulaires de cartes, mais sont une grande ressource pour la protection des données en général. les exigences PCI comprennent des audits annuels sur place, et les analyses de réseau trimestriels.
Une autre bonne ressource est OWASP qui offre des conseils de la sécurité des applications Web en général
OWASP va dans beaucoup de détails sur la façon de réaliser la modélisation des menaces, test (et corriger) les vulnérabilités communes. Pour la tête de démarrage rapide à la
