¿Qué son otras mejores prácticas de seguridad de ASP.NET?Mejores prácticas de seguridad de ASP.NET
identificados hasta ahora se enumeran aquí:
genera siempre nuevas claves de cifrado y contraseñas de administrador cada vez que usted se está moviendo a una aplicación de producción.
Nunca guarde las contraseñas directamente o en forma encriptada. Siempre almacena contraseñas unidireccionales de una manera.
Guarde siempre las cadenas de conexión en la etiqueta de Web.config y encripte en la sección de configuración mediante el uso de proveedores de configuración protegidos (RSA o DPAPI). Consulte example here
Utilice el ID de usuario con menos privilegios para conectarse al servidor SQL o la base de datos que está utilizando. Por ejemplo, si solo está ejecutando procedimientos almacenados desde un determinado módulo de aplicación, debe crear una ID de usuario que tenga permisos para ejecutar solo.
Utilice PrincipalPermission si desea utilizar la seguridad de la base de roles en las páginas.
[PrincipalPermission(SecurityAction.Demand, Role="Admin")] public class AdminOnlyPage : BasePageClass { // ... }
Siempre usa parámetros para evitar SQL Injection en las consultas SQL.
- Considere la posibilidad de instalar URLScan en sus servidores IIS para proteger contra la inyección de SQL. Además, para proteger contra los ataques XSS. Puede usar la biblioteca AntiXSS de MSFT en lugar de la construida para codificar la salida en lugar del código HtmlEncode incorporado que se encuentra en HttpServerUtility.
Siempre tenga en customErrors en web.config para hacerte errores/excepciones privadas
< modo customErrors = "on" defaultRedirect = "MyErrorPage.htm"/>
En las aplicaciones web, siempre valide las entradas del usuario para las etiquetas html o cualquier secuencia de comandos.
Nunca almacene información confidencial, como contraseñas en las cookies.
- No mostrar mensajes de error del sistema, restos de pila, etc., en caso de excepción.
Esto debería ser una wiki. – NotMe
eche un vistazo a http://gosecure.github.io/security-cheat-sheet/ – SPoint