专栏首页张善友的专栏.NET Core 必备安全措施

.NET Core 必备安全措施

.NET Core大大简化了.NET应用程序的开发。它的自动配置和启动依赖大大减少了开始一个应用所需的代码和配置量,本文目的是介绍如何创建更安全的.NET Core应用程序。

1.在生产中使用HTTPS

传输层安全性(TLS)是HTTPS的官方名称,你可能听说过它称为SSL(安全套接字层),SSL是已弃用的名称,TLS是一种加密协议,可通过计算机网络提供安全通信。其主要目标是确保计算机应用程序之间的隐私和数据完整性。过去,TLS / SSL证书很昂贵,而且HTTPS被认为很慢,现在机器变得更快,已经解决了性能问题,Let's Encrypt提供免费的TLS证书,这两项发展改变了游戏,并使TLS成为主流。截至2018年7月24日,Google Chrome 将HTTP网站标记为“不安全”。虽然这在网络社区引起了相当多的争议。知名安全研究员特洛伊亨特创建了一个 为什么不适用HTTPS ?跟踪不使用HTTPS的大型网站的网站。

Let’s Encrypt TLS证书可以自动化生成和更新,由于他们是免费的,所以没有理由不去做!

要在ASP.NET Core应用程序中强制使用HTTPS,ASP.NET Core 2.1版本已经默认支持HTTPS。

----------public void ConfigureServices(IServiceCollection services)  部分:

services.AddMvc(options => { options.Filters.Add(new RequireHttpsAttribute());//所有请求都使用HTTPS })

---------public void Configure(IApplicationBuilder app, IHostingEnvironment env) 部分:

var options = new RewriteOptions().AddRedirectToHttps(); app.UseRewriter(options); app.UseHttpsRedirection();

另一个重要的事情是使用HTTP严格传输安全性(HSTS)。HSTS是一种Web安全策略机制,可以保护网站免受协议降级攻击和cookie劫持。服务器使用名为Strict-Transport-Security的响应头字段将HSTS策略传送到浏览器。ASP.NET Core默认发送此标头,以避免在开始时出现不必要的HTTP跃点。 具体参考 https://docs.microsoft.com/zh-cn/aspnet/core/security/enforcing-ssl?view=aspnetcore-2.1&tabs=visual-studio

2、升级到最新版本

定期升级应用程序中的依赖项有多种原因。安全性是让您有升级动力的最重要原因之一。 基础架构升级通常不如依赖项升级具有破坏性,因为库作者对向后兼容性和版本之间的行为更改的敏感性各不相同。话虽如此,当你在配置中发现安全漏洞时,您有三种选择:升级,修补程序或忽略。在对应用程序进行必要的更改以使用较新版本之后,就应用程序的整体运行状况而言,升级是最安全的。

3、启用CSRF保护

跨站点请求伪造(Cross-Site Request Forgery )是一种攻击,强制用户在他们当前登录的应用程序中执行不需要的操作。如果用户是普通用户,一个成功攻击可能涉及请求的状态更改,如转移资金或更改其电子邮件地址,如果用户具有提升管理员的权限,则CSRF攻击可能会危及整个应用程序。

ASP.NET Core具有出色的CSRF支持,ASP.NET Core使用 ASP.NET Core data protection stack 来实现防请求伪造。默认情况下处于启用状态,CSRF令牌将自动添加为隐藏输入字段。

如果你使用的是像Angular或React这样的JavaScript框架,则需要配置CookieCsrfTokenRepository以便JavaScript可以读取cookie。参考 https://www.cnblogs.com/tdfblog/p/aspnet-core-security-anti-request-forgery.html

4、使用内容安全策略防止XSS攻击

内容安全策略(CSP)是一个增加的安全层,可帮助缓解XSS(跨站点脚本)和数据注入攻击。 参考 http://www.cnblogs.com/wang2650/p/7785106.html

5、使用OpenID Connect进行身份验证

OAuth 2.0是行业标准的授权协议。它使用scope来定义授权用户可以执行的操作的权限。但是,OAuth 2.0不是身份验证协议,并且不提供有关经过身份验证的用户的信息。OpenID Connect(OIDC)是一个OAuth 2.0扩展,提供用户信息,除了访问令牌之外,它还添加了ID令牌,以及/userinfo可以从中获取其他信息的端点,它还添加了发现功能和动态客户端注册的端点。

如果使用OIDC进行身份验证,则无需担心如何存储用户、密码或对用户进行身份验证。相反,你可以使用身份提供商(IdP)为你执行此操作,你的IdP甚至可能提供多因素身份验证(MFA)等安全附加组件。

.NET Core具有良好的OpenID Connect 标准的基础,我们可以很容易的通过Identity Server4 等开源项目实现OpenID Connect的身份认证。

6、安全地存储敏感数据

应谨慎处理敏感信息,如密码,访问令牌等,你不能以纯文本形式传递,或者如果将它们保存在本地存储中。由于(GitHub)的历史已经一次又一次证明,开发人员并没有仔细考虑如何存储他们的秘密。一个好的做法是将保密信息存储在保管库中,该保管库可用于存储,提供对应用程序可能使用的服务的访问权限,甚至生成凭据。HashiCorp的Vault使得存储机密变得很轻松,并提供了许多额外的服务。

7、使用OWASP的ZAP测试您的应用程序

OWASP Zed Attack Proxy简写为ZAP,是一个简单易用的渗透测试工具,是发现Web应用中的漏洞的利器,更是渗透测试爱好者的好东西。OWASP ZAP安全工具是针对在运行活动的应用程序进行渗透测试的代理。它是一个受欢迎的(超过4k星)免费的开源项目,托管在GitHub上。OWASP ZAP用于查找漏洞的两种方法是Spider和Active Scan。

Spider工具以URL种子开头,它将访问并解析每个响应,识别超链接并将它们添加到列表中。然后,它将访问这些新找到的URL并以递归方式继续,为您的Web应用程序创建URL映射。

Active Scan工具将根据潜在漏洞列表自动测试你选择的目标。它提供了一个报告,显示Web应用程序可被利用的位置以及有关漏洞的详细信息。参考http://www.cnblogs.com/tdcqma/p/5344494.html

8、让你的安全团队进行代码审查

代码评审对任何高性能软件开发团队都至关重要。我们所有的生产代码和官方开源项目都需要通过我们的专家安全团队进行分析,但如果你正在处理敏感数据,也许你应该这样做!

可以参考的工具:

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • .NET StockTrader 2.0 新版本

    为了扩大高性能.NET应用程序在多种层次和平台上的应用范围以及促进Windows通讯基础(WCF)的应用,微软2008年10月7日发布了一个样本应用程序、应用指...

    张善友
  • Ocelot API网关的实现剖析

    张善友
  • Ocelot API网关的实现剖析

    在微软Tech Summit 2017 大会上和大家分享了一门课程《.NET Core 在腾讯财付通的企业级应用开发实践》,其中重点是基于ASP.NET Cor...

    张善友
  • 译 | .NET Core 3.0 Preview 6 已发布

    今天,我们宣布 .NET Core 3.0 Preview 6。它的更新包括编译程序集以改进启动、使用链接器和 EventPipe 改进优化应用程序的大小。我们...

    Edi Wang
  • 一个审计的小trick

    验证函数的弱类型问题 如果正常传入参数,显然是没有问题的 但如果我们传入数组的话: payload:

    安恒网络空间安全讲武堂
  • 白嫖JetBrains全家桶第二波与第三波

    第一波的JetBrains猜谜活动见我另外文章,提醒一下,第一波,第二波,第三波兑奖时间要在中欧时间3月15日之前。因为有许多人将最后一题的code泄露出去了,...

    编程之心
  • 为提高SD-WAN安全性能,你需要这样做

    为了做好网络安全工作,SD-WAN技术提供商除了继续加强其产品固有的安全特性,还与网络安全伙伴创建强大的安全生态系统,IT经理也在积极考虑其分支网络安全需求,并...

    SDNLAB
  • WordPress主题后台选项开发框架 Options Framework 介绍

    最近一直在学习 WordPress 主题后台的开发,看了不少教程,但作为一只PHP菜鸟,颇为感到吃力。后来谷歌搜索找到了这个WordPress主题后台选项开发框...

    Jeff
  • 带妹玩转vulnhub(四)

    今天我们请到了炫酷的女装大佬,和我一起为大家进行讲解,这次就不带妹子玩了,毕竟有女装大佬,真香!?

    用户5878089
  • Java 配合 mitmproxy HTTPS 抓包调试

    今天对接接口,对方给的 Demo 和已有项目用的 HTTP 工具不是一个;后来出现人家的好使,我的死活不通的情况;无奈之下开始研究 Java 抓包,所以怕忘了记...

    用户1257393

扫码关注云+社区

领取腾讯云代金券