Лучшие методы безопасности для сайтов ASP.NET MVC?

Question

Я искал по всему Интернету, пытаясь получить руководство по практике безопасности для действительно защищенного сайта, такого как онлайн -сайт, и не нашел их.

Я заинтересован в том, чтобы знать, какие практики вы используете в следующих областях:

1. Коммуникация: Определенно, используя SSL ... любые дополнительные советы для защиты от атак «человек в среднем».
2. Аутентификация: Имя пользователя + пароль + captcha + временные ограничения + применяют регулярные изменения.
3. Навигация между страницами: Есть ли такая вещь?
4. Предотвратить XSS и XSRF: уже на платформе.
5. Зашифруйте конфиденциальные данные На клиенте и сервере: как именно? Должны ли быть конфиденциальные данные на клиенте?
6. Тонко настроенный авторизация: show/hide + выполнить команды + разрешения.
7. Аудит ? какие ? и как это отличается от регистрации.
8. Безопасность уровня страниц: предотвратить манипуляции в содержании страницы (нам это действительно нужно?)

А как обнаружить попытки проникновения? Мониторинг IPS, заблокируйте определенные учетные записи ...? Есть ли способ проверить или имитировать угрозы?

Answer 1

Я бы начал с руководства PCI-DSS в качестве базовой линии защиты данных.

PCI-DSS является стандартом безопасности данных платежных карт. Сначала промышленность пытается установить руководящие принципы для защиты данных вокруг банковской зоны. Руководящие принципы предназначены специально для данных держателя карт, но являются отличным ресурсом для защиты данных в целом. Требования к PCI включают ежегодные аудиты на месте и ежеквартальные сетевые сканирования.

Еще один хороший ресурс - это OWASP который предлагает руководство по безопасности веб -приложений в целом

OWASP много подробно рассказывает о том, как выполнить моделирование угроз, проверить (и правильные) общие уязвимости. Для быстрого старта в OWASP TOP DELE