راهکارهای ایمن سازی پروژه های وب ارائه برنامه نویسی سفارشی نرم افزارهای مبتنی بر وب یکی از خدمات طراحی وب ایران است و لازم است راهکارهای امنیتی برای جلوگیری از انواع حملات پیش بینی شود. در زیر با فهرستی از انواع حملات و راهکاری پیشنهادی آشنا می شوید. - استفاده از ORM هایی مانند Microsoft Entity Framework برای جلوگیری از حمله های SQL Injection - استفاده از Captcha مانند Google reCAPTCHA برای مقاومت در برابر حمله های Brute Force - استفاده از Anti-Forgery Tokens و ValidateAntiForgeryToken برای جلوگیری از حملات XSRF/CSRF Cross-Site Request Forgery - بررسی ورودی فرم های سایت سمت کلاینت مانند Request Validation و سمت سرور مانند استفاده از کتابخانه AntiXSS در کنار Microsoft.Security.Application و استفاده از قابلیتهای فریمورک MVC برای جلوگیری از حمله های XSS / Cross-Site Scripting در هر دو شیوه Stored XSS Attacks و Reflected XSS Attacks - بررسی ورودی های دریافتی با Query-String و استفاده از Model Binding برای جلوگیری از حمله های SQL Injection - ارائه Account Validation و تایید حسابهای کاربری مبتنی بر استانداردهای Microsoft ASP.NET Identity - ارائه امکان Two-Factor Authorization یا احراز هویت دو مرحله ای مبتنی بر استانداردهای Microsoft ASP.NET Identity - عدم ایندکس شدن صفحه هایی مانند ورود و عضویت توسط موتورهای جستجو برای جلوگیری از حملاتی مانند Brute Force - جایگزین کردن POST و PUT و DELETE به جای GET در ASP.Net Web API و ASP.Net MVC - ایمن سازی درخواست های مبتنی بر jQuery Ajax - ارائه Custom Error Page با امکان نمایش اطلاعات حساس به ادمین با اتصال به Log Server - مدیریت و ذخیره سازی خطاها و Exception ها مانند استفاده از ELMAH برای جلوگیری از حمله های SQL Injection یا CSRF - لاگ گیری از ورود و خروج کاربران به همراه زمان، IP، شیوه ورود و آخرین وضعیت لاگین برای بررسی وضعیت های پیش بینی نشده - ارائه امکان بلاک کردن خودکار و یا دستی IP های متخلف - استفاده از شناسه های Machine Readable مانند GUID به جای شناسه های Human Readable - ذخیره سازی اطلاعات حساس صرفا در web.config ترجیحا به به صورت encode شده - بررسی و مدیریت آپلود فایل ها برای جلوگیری از آپلود بدافزار - استفاده از فولدر App_Data برای ذخیره فایل ها - ارائه سرویس های سفارشی برای دسترسی به فایل های مورد نیاز به منظور جلوگیری از حمله SHELL - مدیریت و تنظیم IIS برای جلوگیری از اجرای فایل های اجرایی به منظور جلوگیری از حمله SHELL و DDOS - بررسی، پیاده سازی و راه اندازی راهکارهای امنیتی OWASP مبتنی بر ASP .Net MVC - استفاده از CDN های معتبر مانند Cloudflare یا ابر آروان برای محافظت از حملات DDoS - استفاده از سرور اختصاصی برای سایتهای دارای تراکنش های بانکی برای جلوگیری از نفوذ از طریق سایتهای دیگر روی سرور - استفاده از گواهینامه SSL معتبر در برابر حمله های SNIFF - تهیه و ذخیره اتوماتیک Backup بانک اطلاعاتی و فایل ها - اطمینان از وجود Firewall سخت افزاری و نرم افزاری سمت سرور by rashaadmin / نوامبر 12, 2018 /In Envato, ThemeForest, WordPress Themes