Configurazione dell'applicazione Web ASP.NET su Internet per la prima volta; Queste misure di sicurezza sono sufficienti?

1

Ho un'applicazione Web in esecuzione su IIS 7 negli uffici su LAN e desidero caricarla nello spazio di hosting su (Godaddy) perché mi piace che venga utilizzata negli altri miei uffici (altre città).

Questa applicazione utilizza il provider di appartenenze asp.net per l'autenticazione dell'utente e i dati vengono convalidati dal fronte e dal back-end prima dell'invio dell'input e viene utilizzata la stringa di query crittografata. Sono in piano per utilizzare il piano di hosting Ultimate per Godaddy fornito con Malware Scanner e certificato SSL.

Queste misure di sicurezza sono sufficienti? Poiché nel database vi sono informazioni personali dello staff.

Se no, quali altre misure posso impostare.

    
posta Zee Anjum 10.01.2013 - 17:28
fonte

1 risposta

3

Se questa è l'unica cosa a cui hai pensato, probabilmente la risposta è "no, non è abbastanza". Presumo che non sia davvero tutto quello a cui hai pensato, ma nel caso in cui ...

"Basta" è qualcosa che viene determinato dopo una dettagliata analisi delle minacce da parte di qualcuno (o di una squadra di qualcuno) ) che sa quello che stanno facendo. Le applicazioni Web sono meravigliose superfici di attacco e, mentre Microsoft ha reso relativamente facile creare correttamente un sito Web ragionevolmente sicuro utilizzando ASP.NET, è ancora molto facile non creare un sito Web sicuro .

Semplicemente mettere insieme qualcosa e metterlo fuori non è abbastanza, anche per un sito web che non contiene dati sensibili .

Ci sono molte minacce di cui preoccuparsi:

  • Attacchi SQL Injection
  • Cross-Site Scripting (XSS)
    • Qualcuno scopre un modo per far sì che il tuo sito web serva JavaScript pericoloso. Di solito ciò avviene iniettando lo script in un database e poi contando sullo sviluppatore per non sapere abbastanza per evitare l'output del database. Può anche essere fatto se l'attaccante ha accesso al tuo file system, ma mettere il carico utile nel database è molto più comune.
  • Falsificazione richiesta tra siti (XSRF)
    • Questo è quando qualcuno usa XSS per inserire un JavaScript dannoso sul tuo sito Web che poi esegue ed esegue transazioni non autorizzate (spesso all'insaputa dell'utente) sul sito un altro . (Questo è il motivo per cui non importa se il tuo sito ha informazioni sensibili o no. Se non stai codificando per prevenire XSS, il tuo sito web può essere usato per attaccare siti web che fanno avere dati sensibili.

Queste sono solo la prima cosa che mi viene in mente. Ci sono un sacco di altre questioni di cui preoccuparsi. Ma questo forum non è pensato per quel tipo di risposta approfondita.

Suggerisco di iniziare qui: link Una volta digerito ciò, vorrei strongmente consiglia di familiarizzare con il Top 10 di OWASP. link Stai chiedendo di una piccola scheggia delle cose che bisogno di essere preoccupati.

    
risposta data 10.01.2013 - 18:35
fonte

Leggi altre domande sui tag