Configuración de la aplicación web ASP.NET en Internet por primera vez; ¿Son estas medidas de seguridad suficientes?

Question

Configuración de la aplicación web ASP.NET en Internet por primera vez; ¿Son estas medidas de seguridad suficientes?

#1 de David Stratton (3 votos)

1

Tengo una aplicación web que se ejecuta en IIS 7 en oficinas en LAN y deseo subirla al espacio de alojamiento en (GoDaddy) porque me gusta que se use en mis otras oficinas (otras ciudades).

Esta aplicación utiliza el proveedor de membresía asp.net para la autenticación del usuario y los datos se validan de la parte frontal y posterior antes de enviar la entrada y se utiliza la cadena de consulta cifrada. Estoy a punto de usar el plan de hosting Ultimate para Godaddy que viene con Malware Scanner y Certificado SSL.

¿Estas medidas de seguridad son suficientes? Como hay información personal del personal en la base de datos.

Si no, ¿qué otras medidas puedo establecer?

asp.net .net sql-server

pregunta Zee Anjum 10.01.2013 - 17:28

fuente

1 respuesta

Lea otras preguntas en las etiquetas asp.net .net sql-server

Comportamiento al validar una cadena de certificados caducados ¿Alguien por ahí usa Umbrella desde OpenDNS? ¿Qué es exactamente?

score 3 · Accepted Answer

Si eso es lo único en lo que has pensado, entonces la respuesta probable es "no, eso no es suficiente". Supongo que no es realmente todo lo que has pensado, pero por si acaso ...

"Suficiente" es algo que se determina después de un análisis de amenazas detallado por alguien (o un equipo de alguien) ) que sabe lo que están haciendo. Las aplicaciones web son maravillosas superficies de ataque, y aunque Microsoft hizo que sea relativamente fácil construir correctamente un sitio web razonablemente seguro utilizando ASP.NET, todavía es muy fácil not construir un sitio web seguro .

Simplemente armar algo y ponerlo allí no es suficiente, incluso para un sitio web que no contiene datos confidenciales .

Hay muchas amenazas de las que preocuparse:

ataques de inyección SQL
- Se puede usar para robar información confidencial de sus bases de datos, insertar código malicioso para enviar a los navegadores (ver la siguiente vulnerabilidad) y, en el peor de los casos, La inyección SQL se puede usar para dar a un atacante un control completo sobre su servidor .
secuencias de comandos entre sitios (XSS)
- Alguien encuentra una manera de hacer que su sitio web ofrezca JavaScript malicioso. Por lo general, esto se hace inyectando el script en una base de datos y luego contando con el desarrollador para que no sepa lo suficiente como para escapar de la salida de la base de datos. También se puede hacer si el atacante tiene acceso a su sistema de archivos, pero colocar la carga útil en la base de datos es mucho más común.
falsificación de solicitudes entre sitios (XSRF)
- Esto ocurre cuando alguien usa XSS para colocar un JavaScript malicioso en SU sitio web que luego realiza y realiza transacciones no autorizadas (a menudo sin que el usuario lo sepa) en el sitio web another . (Esta es la razón por la que no importa si su sitio tiene información confidencial o no. Si no está codificando para evitar XSS, su sitio web puede usarse para atacar sitios web que do tener datos confidenciales.

Esos son los primeros en aparecer en mi cabeza. Hay un montón de otras cuestiones que preocuparse. Pero este foro no está destinado a ese tipo de respuesta en profundidad.

Sugiero comenzar aquí: enlace Una vez que haya digerido eso, lo recomiendo recomiendo familiarizarse con el OWASP Top 10. enlace Está preguntando por una pequeña porción de las cosas que necesita estar preocupado por