ASP.NET MVC saugumo pagrindai

Kai mums reikia išleisti savo žiniatinklio programą visuomenei, atsiranda keletas saugumo reikalavimusTaip yra daugiausia todėl, kad yra tūkstančiai agentų, galinčių paveikti mūsų programą, nesvarbu, kenkėjiški ar ne, pavyzdžiui: neteisingi duomenys, nesaugūs slaptažodžiai, vartotojo leidimai ir kt.. Jei papildomai įtraukiame kenkėjiškus agentus, pvz SQL injekcijos, paslaugų atsisakymo išpuoliai, neteisėta prieiga ir kt.. Tada matome, kad turime užtikrinti savo taikymą, kad bent išvengtume akivaizdžiausių atvejų.
Į apsaugoti mūsų programą Turime turėti aiškius pagrindus, tai yra, pagrindai jau turi būti sukurti atsižvelgiant į mūsų duomenų saugumą, todėl eteryje galime turėti saugesnes programas ir mažiau problemų.
Gali būti, kad galvojame tik apie saugumą sluoksnis, kuris tiesiogiai bendrauja su vartotojaisJūs, tiesa, kiekvienas programos sluoksnis turėtų turėti savo saugumo priemones.
Galima manyti, kad apsaugodamas formą duomenų valdytojas, kuris gauna jo duomenis, nerizikuoja jau automatiškai, tačiau praktikoje taip nėra, todėl turėtume imtis priemonių, kad duomenų valdytojas būtų saugus, nepaisant to, kas vyksta formoje.

Taigi mes galime išplėsti kiekvieną paraiškos skyrių, matome, kad turite būti gana išsamūs, tačiau tai galiausiai duoda naudos, kai sumažiname riziką dideliu procentu.
Nors galbūt sukūrėme visą vartotojo patirtį, dienos pabaigoje tai, kas įvesta kaip duomenys mūsų programoje, gali būti panaudota prieš mus, tai yra, neturėtume tikėti, kad vartotojas viską įdės teisingai.
Ką turime omenyje niekada nepasitikint?Turime omenyje, kad neturėtume naudoti įvestų duomenų be jokio apdorojimo, turime išvalyti ir patvirtinti kiekvieno elemento tipą, kurį vartotojas įveda į mūsų formas, taip išvengdami neteisingų duomenų ar bandymų SQL injekcija.
Numatytieji vartotojai turi turėti mažiausią privilegijų suma įmanoma, kad jie galėtų atlikti tik savo užduotis, jei vartotojo profilis neturėtų įkelti failų, tada to profilio sistemos vartotojas net neturėtų turėti tokių leidimų.
Nenumatyti atvejaiTuo mes pasiekiame tai nenumatytų atvejų metu tik įgalioti vartotojai Jie gali keisti duomenis, todėl išorės užpuolikai turės mažiau galimybių padaryti žalos, jei jie gaus prieigą neteisėtu būdu.
Kaip matome, turime kai kuriuos principus, į kuriuos atsižvelgdami, kurdami savo programą, galėsime gerokai sumažinti riziką saugumui, ir savaime suprantama, kad bet kuri visuomenei skirta sistema yra pažeidžiama. kiti niekada nesiims tinkamų atsargumo priemonių, net jei projektui įgyvendinti prireiks šiek tiek daugiau laiko.Ar jums patiko ir padėjo ši pamoka?Galite apdovanoti autorių paspausdami šį mygtuką, kad suteiktumėte jam teigiamą tašką