.NET Core大大簡化了.NET應用程式的開發。它的自動配置和啟動依賴大大減少了開始一個應用所需的代碼和配置量,本文目的是介紹如何創建更安全的.NET Core應用程式。 1.在生產中使用HTTPS傳輸層安全性(TLS)是HTTPS的官方名稱,你可能聽說過它稱為SSL(安全套接字層),SSL是已... ...
.NET Core大大簡化了.NET應用程式的開發。它的自動配置和啟動依賴大大減少了開始一個應用所需的代碼和配置量,本文目的是介紹如何創建更安全的.NET Core應用程式。
1.在生產中使用HTTPS
傳輸層安全性(TLS)是HTTPS的官方名稱,你可能聽說過它稱為SSL(安全套接字層),SSL是已棄用的名稱,TLS是一種加密協議,可通過電腦網路提供安全通信。其主要目標是確保電腦應用程式之間的隱私和數據完整性。過去,TLS / SSL證書很昂貴,而且HTTPS被認為很慢,現在機器變得更快,已經解決了性能問題,Let's Encrypt提供免費的TLS證書,這兩項發展改變了游戲,並使TLS成為主流。截至2018年7月24日,Google Chrome 將HTTP網站標記為“不安全”。雖然這在網路社區引起了相當多的爭議。知名安全研究員特洛伊亨特創建了一個 為什麼不適用HTTPS ?跟蹤不使用HTTPS的大型網站的網站。
Let’s Encrypt TLS證書可以自動化生成和更新,由於他們是免費的,所以沒有理由不去做!
要在ASP.NET Core應用程式中強制使用HTTPS,ASP.NET Core 2.1版本已經預設支持HTTPS。
----------public void ConfigureServices(IServiceCollection services) 部分:
services.AddMvc(options =>
{
options.Filters.Add(new RequireHttpsAttribute());//所有請求都使用HTTPS
})
---------public void Configure(IApplicationBuilder app, IHostingEnvironment env) 部分:
var options = new RewriteOptions().AddRedirectToHttps();
app.UseRewriter(options);
app.UseHttpsRedirection();
另一個重要的事情是使用HTTP嚴格傳輸安全性(HSTS)。HSTS是一種Web安全策略機制,可以保護網站免受協議降級攻擊和cookie劫持。伺服器使用名為Strict-Transport-Security的響應頭欄位將HSTS策略傳送到瀏覽器。ASP.NET Core預設發送此標頭,以避免在開始時出現不必要的HTTP躍點。 具體參考 https://docs.microsoft.com/zh-cn/aspnet/core/security/enforcing-ssl?view=aspnetcore-2.1&tabs=visual-studio
2、升級到最新版本
定期升級應用程式中的依賴項有多種原因。安全性是讓您有升級動力的最重要原因之一。 基礎架構升級通常不如依賴項升級具有破壞性,因為庫作者對向後相容性和版本之間的行為更改的敏感性各不相同。話雖如此,當你在配置中發現安全漏洞時,您有三種選擇:升級,修補程式或忽略。在對應用程式進行必要的更改以使用較新版本之後,就應用程式的整體運行狀況而言,升級是最安全的。
3、啟用CSRF保護
跨站點請求偽造(Cross-Site Request Forgery )是一種攻擊,強制用戶在他們當前登錄的應用程式中執行不需要的操作。如果用戶是普通用戶,一個成功攻擊可能涉及請求的狀態更改,如轉移資金或更改其電子郵件地址,如果用戶具有提升管理員的許可權,則CSRF攻擊可能會危及整個應用程式。
ASP.NET Core具有出色的CSRF支持,ASP.NET Core使用 ASP.NET Core data protection stack 來實現防請求偽造。預設情況下處於啟用狀態,CSRF令牌將自動添加為隱藏輸入欄位。
如果你使用的是像Angular或React這樣的JavaScript框架,則需要配置CookieCsrfTokenRepository以便JavaScript可以讀取cookie。參考 https://www.cnblogs.com/tdfblog/p/aspnet-core-security-anti-request-forgery.html
4、使用內容安全策略防止XSS攻擊
內容安全策略(CSP)是一個增加的安全層,可幫助緩解XSS(跨站點腳本)和數據註入攻擊。 參考 http://www.cnblogs.com/wang2650/p/7785106.html
5、使用OpenID Connect進行身份驗證
OAuth 2.0是行業標準的授權協議。它使用scope來定義授權用戶可以執行的操作的許可權。但是,OAuth 2.0不是身份驗證協議,並且不提供有關經過身份驗證的用戶的信息。OpenID Connect(OIDC)是一個OAuth 2.0擴展,提供用戶信息,除了訪問令牌之外,它還添加了ID令牌,以及/userinfo可以從中獲取其他信息的端點,它還添加了發現功能和動態客戶端註冊的端點。
如果使用OIDC進行身份驗證,則無需擔心如何存儲用戶、密碼或對用戶進行身份驗證。相反,你可以使用身份提供商(IdP)為你執行此操作,你的IdP甚至可能提供多因素身份驗證(MFA)等安全附加組件。
.NET Core具有良好的OpenID Connect 標準的基礎,我們可以很容易的通過Identity Server4 等開源項目實現OpenID Connect的身份認證。
6、安全地存儲敏感數據
應謹慎處理敏感信息,如密碼,訪問令牌等,你不能以純文本形式傳遞,或者如果將它們保存在本地存儲中。由於(GitHub)的歷史已經一次又一次證明,開發人員並沒有仔細考慮如何存儲他們的秘密。一個好的做法是將保密信息存儲在保管庫中,該保管庫可用於存儲,提供對應用程式可能使用的服務的訪問許可權,甚至生成憑據。HashiCorp的Vault使得存儲機密變得很輕鬆,並提供了許多額外的服務。
7、使用OWASP的ZAP測試您的應用程式
OWASP Zed Attack Proxy簡寫為ZAP,是一個簡單易用的滲透測試工具,是發現Web應用中的漏洞的利器,更是滲透測試愛好者的好東西。OWASP ZAP安全工具是針對在運行活動的應用程式進行滲透測試的代理。它是一個受歡迎的(超過4k星)免費的開源項目,托管在GitHub上。OWASP ZAP用於查找漏洞的兩種方法是Spider和Active Scan。
Spider工具以URL種子開頭,它將訪問並解析每個響應,識別超鏈接並將它們添加到列表中。然後,它將訪問這些新找到的URL並以遞歸方式繼續,為您的Web應用程式創建URL映射。
Active Scan工具將根據潛在漏洞列表自動測試你選擇的目標。它提供了一個報告,顯示Web應用程式可被利用的位置以及有關漏洞的詳細信息。參考http://www.cnblogs.com/tdcqma/p/5344494.html
8、讓你的安全團隊進行代碼審查
代碼評審對任何高性能軟體開發團隊都至關重要。我們所有的生產代碼和官方開源項目都需要通過我們的專家安全團隊進行分析,但如果你正在處理敏感數據,也許你應該這樣做!
可以參考的工具:
