2. 질의 응답
  3. 사용자 로그인 기능이없는 웹 사이트에는 어떤 종류의 보안이 필요합니까?

사용자 로그인 기능이없는 웹 사이트에는 어떤 종류의 보안이 필요합니까?

2012-05-18 2 views
0

그래서 나는이 질문에 인터넷 검색을하고있어 사용자 로그인 등의 웹 사이트에 관한 거의 모든 관련 사례가 있으므로 명확한 예제를 찾을 수 없습니다.사용자 로그인 기능이없는 웹 사이트에는 어떤 종류의 보안이 필요합니까?

그래서 내 시나리오는 다음과 같습니다. asp.net MVC3 웹 사이트, 사용자 로그인 없음, 없음. 거기에 양식, 연락처 및 일부 계산 기능이 있습니다.

나는 Nhibernate를 사용하고 web.config가 아니라 코드 자체에 내 Smtp 서버 자격 증명을 갖고 있습니다. 또한 사용자 지정 오류 페이지가 있고 게시 메서드에 [HttpPost] 특성이 있습니다.

마지막 기능으로 제목 목록을 가져 오는 AJAX/json get 메서드가 있습니다 (이 컨트롤러 메서드에는 [AcceptVerbs (HttpVerbs.Get)] 특성이 있음).

여기에 몇 가지 큰 보안 구멍 (SQL 주입, 크로스 사이트 스크립팅)이 누락 되었습니까?

고마워

출처

2012-05-18 NeedACar

+0

사용자 로그인이 실제로 웹 사이트의 잠재적 인 보안 취약점에 큰 영향을 미치지는 않습니다. 로그인 한 사람이든 아니든 사용자가 입력 한 내용을 처리 할 때마다 악의적으로 행동 할 위험이 있으므로 모든 URL, 쿼리 문자열 데이터, 양식 데이터, 쿠키, http 헤더 등이 포함됩니다. 토니 (Tony)가 제안한 10 가지 주요 항목은 OWASP를 통해 웹 애플리케이션 취약점 및 피하는 방법에 대해 자세히 알아 보는 것입니다. – Cheekysoft

답변

0

는 여전히 DDoS 공격 및 DoS 공격에 취약 할 것, 그리고 당신이하지 HTTPS를 사용하는 경우에 당신은 밈의 공격에 취약 할 수 있습니다.

NHibernate와 ASP.NET MVC3이 대부분의 트랙을 처리해야하지만. 적절한 폼 유효성 검사 클라이언트와 서버 측이없고 db 입력이 새 니타 이징되지 않는다면 나는 매우 놀랐습니다.

데이터를 어떻게 관리합니까? - 관리자 만 로그인 할 수 있습니까?

그렇다면 보호하고 수치를 추가하려면 /login/ 또는 /admin/에 넣지 마십시오! 여기

출처

2012-05-18 14:58:09

+0

관리자 패널에서 계속 작업하고 있습니다. 데이터를 업데이트하는 유일한 방법은 데이터베이스에 직접 연결하는 것입니다. 팁 주셔서 감사! – NeedACar

+0

프레임 워크를 사용해도 일반적인 일반적인 취약점으로부터 자동으로 보호되지는 않습니다. 많은 사람들이 NHibernate에 SQL을 작성하는 것을 보았습니다. 이것은 전체 데이터베이스를 손상 시키도록 오직 하나의 주사 가능한 쿼리만을 필요로합니다. MVC에 관해서는 - 그것은 당신을 거의 아무것도 보호하지 못합니다. 이 것들은 마약이 아닙니다. 문제를 이해하고이를 방지하는 방법을 알아야합니다./login/admin 등은 완벽하게 건전한 충고입니다. * 보안이 아닙니다. * – Cheekysoft

+0

누군가 내가 당신의 야생 초기 문장을 추측 할 수있는 사람으로 당신을 뽑았을 때 당신을 다시 터트 렸습니다. 너가 평평한 용골에 머물고 싶다면 내가 다시 평가할거야. –

0

유일한 종류는 인증을 우회하거나 권한 상승 모든 종류의 것에 취약하지 않을 것입니다. 나머지 OWASP Top 10 (SANT 상위 25 : 문제는 http://www.sans.org/top25-software-errors/)은 여전히 ​​적용 가능합니다.

일반적인 SQL 주입 및 XSS 취약점에도 불구하고 사용자가 알아 두어야 할 OS 명령 삽입 및 경로 탐색과 같은 여러 가지 "주입"유형의 취약점이 있습니다. 잊지 말고 호스팅 환경 (웹 서버, 응용 프로그램 서버 및 서버 자체 강화)을 보안해야합니다.

출처

2013-02-28 03:42:14 eliteparakeet

관련 문제

 관련 문제