ASP.NET MVCサイトのセキュリティベストプラクティス？

Question

オンラインバンキングサイトのような本当に安全なサイトのセキュリティ慣行に関するガイダンスを取得しようとして、インターネット全体で検索しましたが、何も見つかりませんでした。

私の興味は、次の分野で使用している慣行を知ることです。

1. コミュニケーション: ：間違いなくSSLを使用してください...「中間の」攻撃から保護するための追加のヒント。
2. 認証: ：username + password + captcha +時間制限 +定期的な変更を強制します。
3. ページ間のナビゲーション：そのようなことはありますか？
4. XSSとXSRFを防ぐ：すでにプラットフォームにあります。
5. 機密データを暗号化します クライアントとサーバーで：正確に何が好きですか？クライアントに機密データが必要ですか？
6. 微調整 許可: ：show/hide + commands + permissionsを実行します。
7. 監査 ？何 ？そして、これがロギングとどのように異なるか。
8. ページレベルのセキュリティ：ページコンテンツの操作を防ぎます（実際にこれが必要ですか？）

そして、侵入の試みを検出する方法は？ IPSを監視し、特定のアカウントをロックします...？脅威をテストまたはシミュレートする方法はありますか？

Answer 1

データを保護するためのベースラインとして、PCI-DSSガイダンスから始めます。

PCI-DSS 支払いカード業界のデータセキュリティ基準です。それは、銀行地域の周りのデータを保護するためのガイドラインを導入するための最初の試みです。ガイドラインは特にカード所有者のデータ専用ですが、一般的にデータの保護のための優れたリソースです。 PCIの要件には、毎年のオンサイト監査、および四半期ごとのネットワークスキャンが含まれます。

別の良いリソースはです owasp 一般的なWebアプリケーションのセキュリティに関するガイダンスを提供する

OWASPは、脅威モデリング、一般的な脆弱性のテスト（および正しい）を実行する方法について多くの詳細を説明します。クイックスタートのために OWASPトップ10