開發更安全的asp.net應用程式一

OWASP TOP 10

open source web application security projecct

web 應用程式的普及和它們的安全問題影響了整個行業的發展，這不僅使web 安全成為核心焦點，而且還形成了開源方法論的和白皮書，以及攻擊和防禦工具組成的整個生態系統。

1非法輸入

　　web應用程式使用來自web請求的資訊之前沒有檢驗資訊。攻擊者可以利用這些缺點穿過web應用程式攻擊後台組件。

2失效的存取控制

　　對授權使用者行為的約束沒有完全限制，攻擊者可以使用這些缺點訪問其它帳戶，查看敏感檔案。

3失效的驗證和會話管理

　　帳戶認證和會話令牌沒有受到適當的保護。攻擊者可以使用竊取密碼，密鑰，會話cookie或者其他令牌以使驗證限制無效然後允許其它使用者身份。

4跨網站指令碼

　　web應用程式能作為向終端使用者瀏覽器傳遞攻擊資訊的平台。

5緩衝溢出

　　在一些語言中，沒有徹底驗證輸入的web應用程式組件能破壞進程，在某些情況下甚至能實現進程式控制制。

6注入式攻擊

　　當web應用程式訪問外部系統或者本地作業系統時會傳遞參數。如果攻擊者能在這些參數中放入惡意命令，那麼外部系統就可能為WEB應用程式執行那些命令。

7異常錯誤處理

　　當常規操作沒有完全處理時就會發生錯誤。如果攻擊者能引發ＷＥＢ應用程式沒有處理錯誤，那麼它們就能獲得詳細的系統資訊，拒絕服務，促使安全機制失效，或者破壞伺服器。

８不安全儲存

　　web應用程式通常使用加密功能來保護資訊和認證。將這些功能和代碼整合能夠對缺乏保護的結果起到一定的保護作用。

９應用程式拒絕服務

　　攻擊者能夠消費大量ＷＥＢ應用程式資源，直到其他合法使用者不能訪問或者使用應用程式。攻擊者還能鎖定使用者帳戶登入，甚至破壞整個應用程式。

10不安全組態管理

　　有效伺服器配置標準是安全web應用程式的保證。

 

總體原則：

　　１安全是一種特性

　　２使用最低許可權

　　３預測、監測和反應

　　４分層防禦

　　５不存在可信的輸入

　　６注意故障模式

　　７注意應用程式拒絕服押

　　８首選預設安全措施

　　９加密不能確保安全

　　１０防火牆不能確保安全