網站安全問題

Question

這更像是一個普遍的問題，而不是一個具體的問題。

我正在編寫一個 asp.NET 和 C# 網站，帶有用戶登錄和管理控制等，我顯然希望網站盡可能安全，因為如果有人訪問管理端，他們可能會刪除所有 ZAC5C74B64B4B8352EF2F181AFFB5AC2 表等。

因此，我在如何確保我的網站安全方面尋求一些指導。 我在谷歌和其他東西上找到了一些帖子，但沒有真正找到值得一讀的東西。 如果有人可以將我重定向到一個體面的帖子。 或者只是警告我任何我沒有考慮到的措施。

到目前為止我所做的是：

當用戶/管理員輸入他們的登錄詳細信息時。 它使用 sql 連接進行身份驗證，以從數據庫中檢索用戶名和密碼，如果存在，則使用用戶 uniqueID 使用 Session["_userID"] = id 創建 session；

這是整個網站中唯一一個創建 session 的地方。

在所有具有任何類型限制的頁面上，在頁面加載時，運行的第一段代碼會檢查 Session["_userID"] 是否存在。 如果存在，則照常加載頁面，如果不存在，則純粹重定向到登錄頁面。

if (Session["_userID"] == null)
{
    Response.Redirect("login.aspx");
}
// rest of page loads

如果不確定這是否容易破解甚至安全。

唯一一次 session id 被破壞是當它用完或用戶注銷時。 使用：

Session.Abandon();

這些幾乎是唯一的安全措施。

這夠了嗎？

我的網站需要防黑客攻擊

謝謝閱讀！

亞歷克斯

Answer 1

首先，確保任何人（無論是否是網站管理員）都無法通過 web UI 從您的數據庫中刪除表。 在此處查看有關“應用最小特權原則”的部分。

其次，停止編寫您自己的身份驗證和授權方案，所有艱苦的工作已經為您完成，只需在會員提供程序中單擊幾下即可。 這將完成您所要求的所有您未提及但可能應該具有的任何事情，例如正確的加鹽和密碼散列。 查看這篇文章中的“使用 ASP.NET 會員提供程序”。

最后，您不是在“破解”您的網站，您只是將難度級別提高到極不可能的程度。 如果您對安全性很認真，我建議您閱讀有關.NET 開發人員的 OWASP Top 10 的系列。 祝你好運！

Answer 2

讓您的網站成為“黑客證明”可能是不可能的。 充其量你可以讓黑客變得非常困難，絕對是腳本兒童證明，但對於一個有決心和經驗豐富的黑客來說卻不是。

你需要決定你願意承擔多少風險，因為你需要考慮很多事情。 您願意投入多少時間和精力，以及為了最大限度地降低風險而獲得的回報。

我建議您前往OWASP網站並開始閱讀。