是否有使用ASP.Net MVC 2/Sql2008实现强web安全性的权威指南或白痴指南？

Question

我即将开始使用c#、ASP.Net MVC 2、IIS7和SQL 2008构建一个电子商务网站。该网站将允许用户登录，购买，并管理他们的订单。很明显，这里需要很强的安全性。我已经在SO和Google上搜索了一份完整的指南，它涵盖了足够多的安全问题，允许我.

1. 了解安全需要考虑的地方和..。
2. 如何在Windows堆栈上正确地实现它。

这将是我第一个从零开始建立的电子商务网站。是否有使用ASP.Net MVC 2/SQL 2008为电子商务网站的所有方面实现强大的web安全性的权威或白痴指南？

提前谢谢你的帮助！

Answer 1

“权威”和“白痴指南”似乎有点相互排斥，但我以前见过一些关于通用ASP.NET安全性的文章，还有一些专门针对MVC的：

构建安全ASP.NET应用程序:身份验证、授权和安全通信 (微软)

开发人员公路规范 (安全-微软英国MSDN )

提高Web应用程序安全性:威胁与对策 (微软)

HaaHa展示: Microsoft和Hanselman的ASP.NET MVC安全性 (微软视频)

还有一些关于防止javascript攻击的http://www.asp.net/mvc/security教程。基本上，这可以归结为总是对任何输出进行编码。

至于SQL 2008，通常的最佳实践是使用Windows身份验证，并且只授予您必须对表进行读/写访问的权限。

Answer 2

请参阅ASP.net上的MVC安全页面。

他们有一些好的视频，他们的示例应用程序对我很有帮助。

Answer 3

从OWASP开始。

OWASP是Web应用程序安全的权威。他们列出的十大漏洞是“网络安全圣经”。

在这里尝试OWASP概述：http://www.owasp.org

以下是OWASP的前十名：项目

后一个链接展示了如何防止这些威胁，包括.Net代码。