使用新技术时的安全问题
你是否发现,当你使用一项新技术时,你永远不能确定在你的代码中留下了什么安全漏洞?
到目前为止,我已经使用ASP.Net Web Forms大约5年了,我非常相信我的代码至少足够安全,可以阻止大多数已知的攻击。回顾我早期的很多代码,我在不知不觉中在很多安全领域留下了空白,特别是查询字符串和视图状态,但我觉得随着时间的推移,我知道了漏洞是什么,并确保我不会再犯同样的错误。
然而,我最近在ASP.Net MVC中启动了一个新项目,我真的不知道我留下了哪些安全漏洞。光是这个原因就几乎让我放弃了这一点。目前我正在疯狂地阅读它,但我确信我还没有学到足够的知识来使它像使用Web表单一样安全。你们怎么做才能确保自己不会受到攻击?
编辑:以好奇的方式启动Bounty,看看是否有更多意见
回答 7
Stack Overflow用户
发布于 2009-06-04 15:49:16
我认为你在ASP.NET中学到的很多东西都可以移植到ASP.NET MVC中去。它仍然是基于HTTP的HTML (漏洞: XSS) (漏洞:所有输入cookie、URL参数、表单输入、可以伪造的头部、会话劫持、CSRF)和数据库后端(漏洞: SQL注入)。
我推荐一本名为Pro ASP.NET MVC Framework的关于ASP.NET MVC的Steve Sanderson's书籍。它有一个完整的章节专门介绍这些主题。
请查看本书的Table of Contents中的第13章“安全和漏洞”。
Stack Overflow用户
发布于 2009-06-04 15:41:12
一直。
你学得越多,你就越能防止将来的安全漏洞。
你自己也说过,你的旧代码充满了安全漏洞,你永远不会把这些漏洞添加到你新写的任何东西中。这是一个很好的证明,证明你有能力学习和适应你正在使用的东西。
我认为你的想法是正确的,记住,没有人在第一次就做对了(至少我没有),这就是为什么重构是如此酷的原因。
不要让这阻止你学习新的东西,只要尽你最大的努力,阅读关于你的技术的安全威胁就可以了。(试用http://www.securityfocus.com)
同行评审可以对此有所帮助,并且有一些工具可以让查找安全漏洞变得更容易。
Stack Overflow用户
发布于 2009-06-04 15:45:59
我猜,每当我们学到新东西的时候,我们都会这样做,比如当你是一个自信的骑车人,转而骑摩托车的时候,第一天你永远不会在高速公路上骑它。在我的经验中,原型设计有很大帮助。通过实际尝试破坏你的代码来测试它。阅读这项新技术是极其重要的。我见过人们仅仅因为听起来很酷而投身于新技术。
做一些研究,找出任何基于相同技术的OSS。玩弄它可能会揭示出很多东西。
编辑: ASP.NET MVC OSS ??查看nerddinner.com源代码并尝试使用它。贡献者是顶尖的,我认为他们在创建这篇文章时一定考虑到了安全性!
https://stackoverflow.com/questions/951334
复制相似问题