Лучшие практики безопасности для сайтов asp.net mvc?

Я искал по всему Интернету, пытаясь получить руководство по технике безопасности для действительно защищенного сайта, такого как сайт онлайн-банкинга, и ничего не нашел.

Меня интересует, какие практики вы используете в следующих областях:

  1. Связь: обязательно с использованием SSL... любые дополнительные советы по защите от атак типа "человек посередине".
  2. Аутентификация: имя пользователя + пароль + капча + ограничения по времени + принудительное применение регулярных изменений.
  3. Навигация между страницами: есть ли такая вещь?
  4. Предотвращение XSS и XSRF: уже в платформе.
  5. Шифровать конфиденциальные данные на клиенте и сервере: что именно? должны ли быть конфиденциальные данные о клиенте?
  6. Тонкая настройка авторизации: показать/скрыть + выполнить команды + разрешения.
  7. Аудит? какие ? и чем это отличается от регистрации.
  8. Безопасность на уровне страницы: предотвращение манипуляций с содержимым страницы (нам это действительно нужно?)

И как обнаружить попытки проникновения? Мониторинг IP-адресов, блокировка определенных учетных записей ...? Есть ли способ протестировать или имитировать угрозы?


security asp.net-mvc onlinebanking
person Jalal El-Shaer    schedule 14.10.2010    source источник
comment
Вы делаете сайт онлайн-банкинга или вам просто любопытно?   -  person tster    schedule 14.10.2010
comment
Я действительно думаю, что вам нужно будет нанять компанию для консультации по этому вопросу. Хотя есть много общих вещей, которые вы должны сделать, многие из них требуют полного понимания вашей точной системы и планов.   -  person Noon Silk    schedule 14.10.2010
comment
Да, поэтому я и спросил, строит ли он сайт. Я думаю, что если вы пришли сюда с вопросом о Encrypt senstive data on client and server ??! и any extra tips?, вам, вероятно, следует привлечь помощь извне.   -  person tster    schedule 14.10.2010
comment
НЕТ, я не создаю сайт банка. Но поскольку банкам действительно требуется высокий уровень безопасности, я подумал, что это создаст передовой опыт, который заставит хакеров столкнуться с трудностями.   -  person Jalal El-Shaer    schedule 14.10.2010
comment
@Noon Silk: Если бы я нанял компанию для выполнения этой работы, я бы отказался от этой работы. @tster: Вот внешняя помощь, которую я ищу. Возможно, вы забыли, что этот сайт предназначен для экспертов, которые могут ответить на вопросы, о которых они знают.   -  person Jalal El-Shaer    schedule 15.10.2010

Ответы (1)


arrow_upward
1
arrow_downward

Я бы начал с руководства PCI-DSS в качестве основы для защиты данных.

PCI-DSS — это стандарт безопасности данных в индустрии платежных карт. Это первая в отрасли попытка разработать рекомендации по защите данных в банковской сфере. Рекомендации предназначены специально для данных о держателях карт, но представляют собой отличный ресурс для защиты данных в целом. Требования PCI включают ежегодные выездные проверки и ежеквартальные проверки сети.

Другим хорошим ресурсом является OWASP, предлагающий рекомендации по безопасности веб-приложений в целом.

OWASP подробно описывает, как выполнять моделирование угроз, тестировать (и исправлять) распространенные уязвимости. Для быстрого старта посетите десятку лучших проектов OWASP.

person PaulG    schedule 14.10.2010
comment
Я искал больше ответов от экспертов ... но ... это единственный ответ :) - person Jalal El-Shaer; 19.01.2012