Esiste un firewall per applicazioni Web per ASP.NET? [Chiuso
https://stackoverflow.com/questions/5983493
-
12-11-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Voglio indurire il mio sito Web contro semplici DOS/XSS/SQLI/ETC ... ma per ora non voglio approfondire la programmazione di sicurezza, quindi voglio usare una classe pronta o una libreria qualcosa come "mod_security" in Linux.
Circa un anno fa avevo trovato un progetto come Modsec per ASP.NET, ma proprio ora in Google ho cercato troppo ma niente di interessante.
Qualcuno sa qualcosa di WAF in .NET?
Saluti.
Soluzione
Non esiste un WAF che funzionerà fuori dalla scatola per la tua applicazione specifica. Avrai bisogno di un ottimo ottimizzazione per proteggere un'applicazione Web con un WAF. In molti casi sarà più facile implementare l'applicazione pensando alla sicurezza che renderla sicura con un livello aggiuntivo. L'uso di un'istruzione preparata per un'istruzione SQL è molto più semplice che cercare di identificare e filtrare input negativi. Di solito vuoi fare entrambi (difesa in profondità) ma l'uso di una dichiarazione preparata è l'opzione migliore se si desidera fare affidamento su una singola misura di protezione.
Se vuoi davvero provare a proteggere la tua applicazione con un WAF e hai familiarità con Mod_Security, puoi usarla per l'applicazione ASP.NET. È necessario un server dedicato che funga da proxy inverso di fronte all'applicazione. Mod_Security può filtrare le richieste di ingresso e in uscita. Ho recuperato i pro e i contro dal Sito Web ufficiale Mod_Security Per quanto riguarda la configurazione del proxy inverso per te:
Vantaggi
- Singolo punto di accesso: funziona come un punto di strozzamento in modo da consolidare l'applicazione delle impostazioni di sicurezza e semplifica la gestione.
- La topologia di rete è nascosta dal mondo esterno, quindi sarà più difficile per gli aggressori elencare le tue piattaforme web.
- Aumento delle prestazioni: se gli acceleratori SSL/memorizzazione nella cache sono utilizzati.
- È possibile implementare i filtri di vulnerabilità per proteggere e vulnerabili server Web o applicazione sul backend (IIS, Netscape, ASP, PHP, ecc ...).
Svantaggi
- Un potenziale collo di bottiglia del traffico se il proxy inverso non è possibile gestire il carico di rete.
- Un potenziale punto di fallimento: se il proxy inverso scende, può causare una negazione del servizio alle applicazioni Web dietro di esso.
- Richiede modifiche alla rete.
Altri suggerimenti
Non troverai mai un pacchetto di sicurezza "una taglia unica". Tuttavia, un passo nella giusta direzione potrebbe essere quello di dare un'occhiata alla libreria anti-XSS di Microsoft e al motore di runtime di sicurezza. Entrambi i progetti possono essere Trovato su codeplex.
Descrizione:
(Anti-XSS)
AntixSS fornisce una miriade di funzioni di codifica per l'input dell'utente, tra cui HTML, Attributi HTML, XML, CSS e JavaScript.
Elenchi bianchi: ANTIXSS differisce dalla codifica standard .NET Framework utilizzando un approccio alla lista bianca. Tutti i caratteri non nell'elenco bianco saranno codificati utilizzando le regole corrette per il tipo di codifica. Mentre questo è arrivato a un costo di performance che AntixSS è stato scritto pensando alle prestazioni. Globalizzazione sicura: Il Web è un mercato globale e gli script incrociati sono un problema globale. Un attacco può essere codificato ovunque e Anti-XSS ora protegge dagli attacchi XSS codificati in dozzine di lingue.
(SRE)
Il motore di runtime di sicurezza (SRE) fornisce un wrapper attorno ai siti Web esistenti, garantendo che i vettori di attacco comuni non arrivino alla tua applicazione. La protezione è fornita come standard per
- Cross Site Scripting
- SQL Injection
Come per tutta la sicurezza web, il WPL fa parte di una strategia di difesa in profondità, aggiungendo un livello aggiuntivo a qualsiasi convalida o pratiche di codifica sicure che hai già adottato.
Il mio prodotto, ServerDefender VP Funzionerà fuori dalla scatola con ASP.NET (devi solo far funzionare il software in modalità "Registra solo" per un periodo di tempo per fargli conoscere il traffico in arrivo sul tuo sito o app). Questa applicazione web firewall che era nuova nel periodo in cui è stata posta la domanda originariamente, ma è abbastanza matura ora.
In termini di sicurezza, ServerDefender VP protegge di nuovo minacce comuni come XSS, SQL Inject e altri. Aiuta anche a raggiungere la conformità PCI e presenta potenti funzionalità di registrazione e avviso. Ciò che probabilmente lo distingue da alcune altre opzioni WAF è la sua usabilità e l'interfaccia utente semplice.
Non esiste un WAF che funzionerà fuori dalla scatola per la tua applicazione specifica
Mi dispiace non essere d'accordo.
WAF basato su cloud Incapsula Ti fornirà una soluzione plug-and-play fuori dalla scatola e funzionerà per ogni piattaforma (incluso, ovviamente, ASP.NET). Non richiederà manutenzione/personalizzazione dalla fine (questo viene fatto a livello globale da un team di sicurezza dedicato) e l'impostazione iniziale stessa richiederà solo 5 minuti (eseguita tramite una semplice modifica dei dati DNS).
Avendolo detto:
Questa non fa parte del piano gratuito. Quindi, a differenza di "Mod_security", questo ti costerà alcune decine di dozzine al mese.
Tra i lati positivi, a differenza di "mod_security" e altre soluzioni di sistema operativo e/o cloud, questo è un WAF conforme a PCI, che dice qualcosa sul livello di sicurezza che fornisce. Alto questo è particolarmente cruciale se stai pensando di gestire le proprie transazioni.
Ancora una volta, da un lato positivo, questa è una soluzione altamente personalizzabile che viene fornita con GUI e API facili da usare per utenti di fascia alta con esigenze specifiche.
Come bonus aggiuntivo, poiché si tratta di una soluzione basata su cloud CDN, otterrai un aumento significativo delle prestazioni, a causa delle funzionalità di memorizzazione nella produzione globale e della CDN.
