Рекомендации по обеспечению безопасности для сайтов asp.net mvc?

Question

Я искал по всему интернету, пытаясь получить руководство по мерам безопасности для действительно защищенного сайта, такого как сайт онлайн-банкинга, и не нашел ни одного.

Меня интересует, какие вы практикииспользуется в следующих областях:

1. Связь : безусловно, с использованием SSL ... любые дополнительные советы для защиты от атак "человек посередине".
2. Аутентификация : имя пользователя + пароль + капча + ограничения по времени + принудительное выполнение регулярных изменений.
3. Навигация по страницам: есть ли такая вещь?
4. Запрет XSS и XSRF: уже вПлатформа.
5. Шифрование конфиденциальных данных на клиенте и сервере: например, что именно?на клиенте должны быть конфиденциальные данные?
6. Точно настроенный авторизация : показать / скрыть + выполнить команды + разрешения.
7. Аудит ?что ?и чем это отличается от ведения журнала.
8. Безопасность на уровне страницы: предотвращение манипуляций с содержимым страницы (нужно ли это на самом деле?)

И как обнаружить попытки проникновения?Мониторинг IP-адресов, блокировка определенных учетных записей ...?Есть ли способ проверить или смоделировать угрозы?

Answer 1

Я бы начал с руководства PCI-DSS в качестве основы для защиты данных.

PCI-DSS - стандарт безопасности данных в индустрии платежных карт. Это первая попытка отрасли установить руководящие принципы защиты данных в банковской сфере. Рекомендации предназначены специально для данных держателей карт, но являются отличным ресурсом для защиты данных в целом. Требования PCI включают ежегодные выездные проверки и ежеквартальные проверки сети.

Другим хорошим ресурсом является OWASP , который предлагает руководство по безопасности веб-приложений в целом

OWASP подробно рассказывает о том, как выполнять моделирование угроз, тестировать (и исправлять) распространенные уязвимости. Для быстрого старта отправляйтесь в OWASP Top Ten