使用新技术时的安全问题

Question

你是否发现，当你使用一项新技术时，你永远不能确定在你的代码中留下了什么安全漏洞？

到目前为止，我已经使用ASP.Net Web Forms大约5年了，我非常相信我的代码至少足够安全，可以阻止大多数已知的攻击。回顾我早期的很多代码，我在不知不觉中在很多安全领域留下了空白，特别是查询字符串和视图状态，但我觉得随着时间的推移，我知道了漏洞是什么，并确保我不会再犯同样的错误。

然而，我最近在ASP.Net MVC中启动了一个新项目，我真的不知道我留下了哪些安全漏洞。光是这个原因就几乎让我放弃了这一点。目前我正在疯狂地阅读它，但我确信我还没有学到足够的知识来使它像使用Web表单一样安全。你们怎么做才能确保自己不会受到攻击？

编辑:以好奇的方式启动Bounty，看看是否有更多意见

Answer 1

这是一个非常困难的问题，可能没有很好的答案。然而，在使用新技术时，您可以做一些事情来增加保护自己安全的可能性。

1. 请记住以下几点:有三种类型的漏洞。这些问题是您正在使用的框架所特有的(例如，Ruby on Rails公共控制器问题)，是您所构建的应用程序类型所特有的(例如，Web应用程序必须担心XSS)，以及您在particular.
2. Identify中所使用的新技术如何减轻应用程序类型的安全漏洞。例如，ASP.Net MVC如何减轻XSS？它如何减轻SQL注入？如果文档中没有答案，那么找出如何解决这些常见的漏洞类别。另外，暂停一下，因为如果框架不能缓解这些问题，那么可能框架开发人员没有优先考虑安全性，并且可能没有编写一个非常健壮的framework.
3. Figure来说明您为什么需要安全性以及您试图保护的内容。例如:在查看敏感数据之前，您的应用程序是否需要授权？如果是，请确定该框架为文档中安全部分的authorization.
4. Look提供了哪些功能。通常已知的问题都被记录下来了，但是人们太专注于解决他们的问题，以至于他们不去寻找它。
5. 代码防御性，并意识到用户输入是如何使用的。宽宏大量地定义什么是用户输入。例如，querystring或post字段很明显，但在许多MVC框架中，URL指示运行什么代码(例如，请参阅Ruby路由漏洞)。要非常清楚数据是如何被handled
6. Stress的，测试您的业务逻辑，并找出它可能被滥用的可能性。

因此，简而言之:仔细处理用户输入，阅读现有文档，确定您需要的安全性，并找出框架如何减轻常见的漏洞类。意识到安全是当务之急，关注是战斗的50%。

Answer 2

我认为你在ASP.NET中学到的很多东西都可以移植到ASP.NET MVC中去。它仍然是基于HTTP的HTML (漏洞: XSS) (漏洞:所有输入cookie、URL参数、表单输入、可以伪造的头部、会话劫持、CSRF)和数据库后端(漏洞: SQL注入)。

我推荐一本名为Pro ASP.NET MVC Framework的关于ASP.NET MVC的Steve Sanderson's书籍。它有一个完整的章节专门介绍这些主题。

请查看本书的Table of Contents中的第13章“安全和漏洞”。

Answer 3

一直。

你学得越多，你就越能防止将来的安全漏洞。

你自己也说过，你的旧代码充满了安全漏洞，你永远不会把这些漏洞添加到你新写的任何东西中。这是一个很好的证明，证明你有能力学习和适应你正在使用的东西。

我认为你的想法是正确的，记住，没有人在第一次就做对了(至少我没有)，这就是为什么重构是如此酷的原因。

不要让这阻止你学习新的东西，只要尽你最大的努力，阅读关于你的技术的安全威胁就可以了。(试用http://www.securityfocus.com)

同行评审可以对此有所帮助，并且有一些工具可以让查找安全漏洞变得更容易。