Контрольный список уязвимостей безопасности

Question

Я работаю над потребительским веб-приложением, построенным на .Net / C # MSSQL в качестве базы данных

Мы следовали общепринятым нормам кодирования для предотвращения ошибок и внедрения запросов SQL / JS, но никто из нас не является экспертом по безопасности.

Что было бы хорошим контрольным списком, чтобы узнать, насколько реально безопасное приложение, которое мы создаем.

Answer 1

Я не уверен, что имелось в виду под контрольным списком, поскольку он мог быть связан с разработкой (чтобы помочь разработчикам писать меньше ошибок), проверкой кода (для выявления ошибок в обзоре) или тестированием (чтобы гарантировать, что все аспекты уязвимости проверены на).

В OWASP есть руководства для удовлетворения всех трех потребностей -

• Руководство по разработке OWASP
• Руководство по пересмотру кода OWASP
• Руководство по тестированию OWASP

И затем, в довершение всего, вы всегда можете обратиться к списку OWASP Top 10 *1020*, чтобы определить приоритеты уязвимостей, на которых вы хотели бы сосредоточить большую часть своих усилий.

Как отметил Марк , проект OWASP .NET будет полезен.

Answer 2

Проект защиты открытых веб-приложений ( OWASP ) имеет много ресурсов - вы можете начать с 10 лучших уязвимостей и взглянуть на руководства по тестированию и проверке кода. У нас есть проект специально для .NET на OWASP .NET Кроме того, вот список полезных ресурсов рекомендуемых ресурсов веб-безопасности для .NET .

Answer 3

Поскольку вы разрабатываете на платформах MS, вы рассматривали жизненный цикл разработки Security ?

Написание безопасного кода Майклом Ховардом также охватывает многие из этих практик.