asp.net - 我应该采取什么措施来保护我的多层 ASP.NET 应用程序？-6ren

asp.net - 我应该采取什么措施来保护我的多层 ASP.NET 应用程序？

转载作者：行者123 更新时间：2023-12-05 00:43:34

26

4

我正在设计一个应该处理敏感信息(比如财务数据)的多层 ASP.NET Web 应用程序。

我要识别所有潜在威胁应用程序将在现实生活中面临并相应地规划对策。

一些细节:

该应用程序将托管在客户的数据中心，供内部和外部用户使用

目标平台是 Windows Server 2008 + IIS7 或 Windows Server 2003 + IIS6

目标数据库是 MS SQL Server 2008

最佳答案

呸!从哪里开始......取决于您需要它的“安全性”。即个人博客与大型公司/政府部门的大型项目之间的区别。 ETC...

没有特别的顺序

通过加密配置文件来保护它们。

确保您的数据库位于某种 DMZ 之后，而不是位于可公开访问的 IP

上

找一家安全公司对您的网站进行彻底检查以解决潜在漏洞(跨站点脚本/Sql 注入(inject))

使用 SSL

锁定服务器上的所有端口，除了 80 HTTP 和 443 HTTPS，除非绝对必要

确保您与盒子的远程桌面/VNC 连接是安全的

如果您将密码存储在数据库中，请对它们进行哈希和加盐，并且不要存储纯文本

发布您的代码，不要将源代码留在服务器上

根据已知标准构建代码，即不要编写自己的加密算法

如果 Site->DB 或 Site-MSMQ 之间的安全连接可用，请使用它们

微软有一篇关于保护 ASP.NET 应用程序的好文章，我会挖掘出来。

编辑

正如赛义德刚刚在他的回复中发布的那样，(+1 归功于他)

Building Secure ASP.NET Applications: Authentication, Authorization, and Secure Communication

关于asp.net - 我应该采取什么措施来保护我的多层 ASP.NET 应用程序？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/923154/

26

4

0

文章推荐： c# - 更新到 dotnet 6 后，dotnet run 无法正常工作

文章推荐： assembly - PEXT 之类的汇编指令实际用于什么用途？

文章推荐： .net - 在 .NET 中共享程序集

elasticsearch - 应该+ ElasticSearch中的distance_function
我正在尝试在Elasticsearch中返回的值中考虑地理位置的接近性。我希望近距离比某些字段(例如legal_name)重要，但比其他字段重要。从文档看来，当前的方法是使用distance_fea
php - 在Elasticsearch中处理必须/应该
我是Elasticsearch的初学者，今天在进行“多与或”查询时遇到问题。我有一个SQL查询，需要在Elastic中进行转换: WHERE host_id = 999 AND psh_pid =
c++ - 应该/可以在函数中通过引用传递智能指针
智能指针应该/可以在函数中通过引用传递吗？即: void foo(const std::weak_ptr& x) 最佳答案当然你可以通过const&传递一个智能指针。这样做也是有原因的: 如果接
elasticsearch - '应该' bool 查询获取不需要的结果
我想执行与以下MYSQL查询等效的查询 SELECT http_user, http_req_method, dst dst_port count(*) as total FROM my_table
Elasticsearch:应该 + minimum_should_match 与必须
我用这两个查询进行测试用must查询 { "size": 200, "from": 0, "query": { "bool": { "must": [ { "mat
android - 我如何(应该)将处理程序添加到服务中的线程
我仍在研究 Pro Android 2 的简短服务示例(第 304 页)同样，服务示例由两个类组成:如下所示的 BackgroundService.java 和如下所示的 MainActivity.j
html - 当引入水平滚动时，*应该*如何呈现此内容？
给定标记 like this : header really_wide_table..........................................
javascript - ChaiJS 应该 - 测试空字符串
根据 shouldJS 上的文档网站我应该能够做到这一点: ''.should.be.empty(); ChaiJS网站没有使用 should 语法的示例，但它列出了 expect 并且上面的示例似乎
c - 必须(应该)避免使用标准库中的哪些函数？
我在 Stack Overflow 上读到一些 C 函数是“过时的”或“应该避免”。你能给我一些这种功能的例子以及原因吗？这些功能有哪些替代方案？我们可以安全地使用它们 - 有什么好的做法吗？最
c++11 - 省略号可以/应该/将适用于元组吗？
在 C++11 中，可变参数模板允许使用任意数量的参数和省略号运算符 ... 调用函数。允许该可变参数函数对每个参数做一些事情，即使每个参数的事情不是一样的: template void dummy(
ruby-on-rails - 应该:测试validates_presence_of:on =>:update
我在我从事的项目之一上将Shoulda与Test::Unit结合使用。我遇到的问题是我最近更改了此设置: class MyModel :update end 以前，我的(通过)测试看起来像这样: c
chai - 如何在 chai 中做一个 "or"应该
我该如何做 or使用 chai.should 进行测试? 例如就像是 total.should.equal(4).or.equal(5) 或者 total.should.equal.any(4,5)
Mercurial - .hgtags 应该 merge 吗？
如果您要将存储库 B 中的更改 merge 到存储库 A 中，是否应该 merge .hgtags 中的更改？存储库 B 可能具有 A 中没有的标签 1.01、1.02、1.03。为什么要将这些 m
elasticsearch - 带有Must(and)应该(或)不产生期望结果的Elasticsearch查询
我正在尝试执行X AND(y OR z)的查询我需要获得该代理为上市代理或卖方的所有已售属性(property)。我只用 bool(boolean) 值就可以得到9324个结果。当我添加 bool
javascript - Mocha/应该 'undefined is not a function'
我要离开 this教程，尝试使用 Mocha、Supertest 和 Should.js 进行测试。我有以下基本测试来通过 PUT 创建用户接受 header 中数据的端点。 describe('U
java - JUnit:可以(应该)这样做吗？
我正在尝试为 Web 应用程序编写一些 UI 测试，但有一些复杂的问题希望您能帮助我解决。首先，该应用程序有两种模式。其中一种模式是“训练”，另一种是“现场”。在实时模式下，数据直接从我们的数据库中
ruby-on-rails - 应该 helper 不工作
我有一个规范: require 'spec_helper' # hmm... I need to include it here because if I include it inside desc
ruby-on-rails - 行动有效，但测试无效(应该)
我正在尝试用这个测试我在 Rails 中的更新操作: context "on PUT to :update" do setup do @countdown = Factory(:count
html - 应该 &'s be escaped in onclick="...”？
我还没有找到合适的答案: onclick="..." 中是否应该转义 &(& 符号)？ (或者就此而言，在每个 HTML 属性中？) 我已经尝试在 jsFiddle 和 W3C 的验证器上运行转义和非
java - 应该 move 球的程序，但不执行方法运行
import java.applet.*; import java.awt.*; import java.awt.event.*; public class Main extends Applet i

首页

博学

6Ren·AI

商城

asp.net - 我应该采取什么措施来保护我的多层 ASP.NET 应用程序？