ارائه برنامه نویسی سفارشی نرم افزارهای مبتنی بر وب یکی از خدمات طراحی وب ایران است و لازم است راهکارهای امنیتی برای جلوگیری از انواع حملات پیش بینی شود.
در زیر با فهرستی از انواع حملات و راهکاری پیشنهادی آشنا می شوید.
– استفاده از ORM هایی مانند Microsoft Entity Framework برای جلوگیری از حمله های SQL Injection
– استفاده از Captcha مانند Google reCAPTCHA برای مقاومت در برابر حمله های Brute Force
– استفاده از Anti-Forgery Tokens و ValidateAntiForgeryToken برای جلوگیری از حملات XSRF/CSRF Cross-Site Request Forgery
– بررسی ورودی فرم های سایت سمت کلاینت مانند Request Validation و سمت سرور مانند استفاده از کتابخانه AntiXSS در کنار Microsoft.Security.Application و استفاده از قابلیتهای فریمورک MVC برای جلوگیری از حمله های XSS / Cross-Site Scripting در هر دو شیوه Stored XSS Attacks و Reflected XSS Attacks
– بررسی ورودی های دریافتی با Query-String و استفاده از Model Binding برای جلوگیری از حمله های SQL Injection
– ارائه Account Validation و تایید حسابهای کاربری مبتنی بر استانداردهای Microsoft ASP.NET Identity
– ارائه امکان Two-Factor Authorization یا احراز هویت دو مرحله ای مبتنی بر استانداردهای Microsoft ASP.NET Identity
– عدم ایندکس شدن صفحه هایی مانند ورود و عضویت توسط موتورهای جستجو برای جلوگیری از حملاتی مانند Brute Force
– جایگزین کردن POST و PUT و DELETE به جای GET در ASP.Net Web API و ASP.Net MVC
– ایمن سازی درخواست های مبتنی بر jQuery Ajax
– ارائه Custom Error Page با امکان نمایش اطلاعات حساس به ادمین با اتصال به Log Server
– مدیریت و ذخیره سازی خطاها و Exception ها مانند استفاده از ELMAH برای جلوگیری از حمله های SQL Injection یا CSRF
– لاگ گیری از ورود و خروج کاربران به همراه زمان، IP، شیوه ورود و آخرین وضعیت لاگین برای بررسی وضعیت های پیش بینی نشده
– ارائه امکان بلاک کردن خودکار و یا دستی IP های متخلف
– استفاده از شناسه های Machine Readable مانند GUID به جای شناسه های Human Readable
– ذخیره سازی اطلاعات حساس صرفا در web.config ترجیحا به به صورت encode شده
– بررسی و مدیریت آپلود فایل ها برای جلوگیری از آپلود بدافزار
– استفاده از فولدر App_Data برای ذخیره فایل ها
– ارائه سرویس های سفارشی برای دسترسی به فایل های مورد نیاز به منظور جلوگیری از حمله SHELL
– مدیریت و تنظیم IIS برای جلوگیری از اجرای فایل های اجرایی به منظور جلوگیری از حمله SHELL و DDOS
– بررسی، پیاده سازی و راه اندازی راهکارهای امنیتی OWASP مبتنی بر ASP .Net MVC
– استفاده از CDN های معتبر مانند Cloudflare یا ابر آروان برای محافظت از حملات DDoS
– استفاده از سرور اختصاصی برای سایتهای دارای تراکنش های بانکی برای جلوگیری از نفوذ از طریق سایتهای دیگر روی سرور
– استفاده از گواهینامه SSL معتبر در برابر حمله های SNIFF
– تهیه و ذخیره اتوماتیک Backup بانک اطلاعاتی و فایل ها
– اطمینان از وجود Firewall سخت افزاری و نرم افزاری سمت سرور
دیدگاهتان را بنویسید