php - 网站安全 - 帮我少吸点

Question

在网站安全方面，我有点落伍了。我知道基础知识 - 验证所有传入数据，将数据转义保存到数据库，使用盐作为密码等。但我觉得我遗漏了很多东西，这些东西可能会咬我的屁股。我向 .NET 的缓慢迁移尤其如此。我只是不确定如何在 .NET 中复制我在 PHP 中所知道的内容。因此，以下是我一直在思考的一些事情，我确定我需要帮助。

问题:保护 session
PHP:每当用户执行重要操作时使用 session_regenerate_id()。
.NET:不知道如何在此处复制它。
将军:我还缺少什么？

问题:XSS
PHP:使用 htmlentities() 将具有潜在危险的代码转换为可以(大部分)无害地呈现的内容。
.NET:我相信 MVC，在 View 中使用 <%: %> 标签做同样的事情。
一般:我还能做些什么来阻止 JavaScript？完全拒绝 HTML 怎么样？如何保护文本区域？

问题:远程执行
PHP:使用正则表达式查找和删除 eval() 函数调用。
.NET:不出所料，不知道。
General:再说一次，我还应该寻找更多吗？

问题:目录遍历(可能与上述有关)
我只是不确定我应该对此有多担心。我也不确定如何阻止它。

非常欢迎提出建议、文章链接(带有代码示例)等，我们将不胜感激。

Answer 1

session_regenerate_id

我不认为有一个等价物。 session 的生命周期很短，因此如果攻击者及时进入 session ，那么在您更改访问级别后也应该会发生这种情况。

另外一点是， session 并不意味着在 asp.net 中对用户进行身份验证。使用自定义身份验证时，您使用表单例份验证。

上面说了，你做的任何事情都会受到中间人的攻击。很多网站都是这种情况，因此 cookie 劫持是一个无处不在的问题。

当做任何特殊的事情时，要求用户再次输入他们的密码/这应该通过 https 完成。如果你需要做一系列的特殊操作，你可以做一次，但从那时起，请求/cookie 需要通过 https 发送。在此上下文中，您可以发出修改后的表单例份验证 cookie，它允许访问特殊操作并需要 https。

I believe in MVC, using <%: %> tags in a view does the same thing.

是的，这有点等同于 <%= Html.HtmlEncode(someString) %>/有一些额外的东西来防止双重编码(应该研究一下)。

Use regEx to find and remove eval() function calls.

在 .net 中，您没有这样一个具有如此广泛访问权限的速记。如果您没有明确地做任何不寻常的事情，那么您可能没问题。

Directory Traversal (probably related to the above)

使用 MapPath 和类似的。它实际上可以防止超出站点文件夹。这就是说，避免完全接收路径，因为您仍然可以无意中访问 asp.net 文件夹中的特殊文件。事实上，这是填充 oracle 漏洞中的 Microsoft 处理程序所发生的事情的一部分 - 更多关于 my blog

You can add CSRF to the list.

使用防伪 token :http://blog.stevensanderson.com/2008/09/01/prevent-cross-site-request-forgery-csrf-using-aspnet-mvcs-antiforgerytoken-helper/

padding oracle attack:

应用解决方法，然后在补丁发布后立即应用。

了解我在这里提到的所有内容:asp.net padding oracle: how it relates to getting the web.config, forging authentication cookies and reading other sensitive data .了解其中的所有内容很重要，特别是如果您使用任何功能，即您不想成为将敏感数据放入 View 状态的人:)