0

我正在开发一个目前主要是 Intranet 并使用自定义身份验证的网站。该网站需要错误报告功能。我已经在后端设置了所有内容(数据库表、用于跟踪从我的 ASP.NET MVC 网站到我的 WCF 服务的错​​误的相关标识符)。

当某些异常发生时,它会被记录下来,并向用户显示一个反馈表,他可以在其中填写其他详细信息。

问题是,显然有人可能会滥用该错误报告链接并开始发布一些垃圾数据,甚至可能使用该链接进行 DoS 攻击。我不想通过身份验证来保护这个页面,因为也许用户想报告他在登录时遇到了问题。

现在的问题是——如何防止黑客和恶意用户通过错误报告表攻击网站?是否有任何已知的方法和最佳实践(除了似乎有点不适合公司业务应用程序的验证码)?

我想让保护尽可能简单——在错误报告表单本身中出现另一个异常并不好。

4

1 回答 1

1

如果该站点仅是 Intranet,为什么您的防火墙内有这么多黑客和恶意用户?:-)

不过说真的,即使是经过身份验证的用户,您也应该已经在应用最佳安全实践(例如防止跨站点脚本和 SQL 注入) 。如果其中一个人的计算机上有恶意软件,导致他们的浏览器在身份验证后将恶意内容发布到 Web 表单中怎么办?

对于 .net 开发人员来说,这一系列文章非常适合防御 10 大安全威胁: http ://www.troyhunt.com/2011/12/free-ebook-owasp-top-10-for-net.html

一旦您对将这些最佳实践在全球范围内应用到代码中充满信心,我不明白为什么仅 Intranet 的反馈表会提出任何进一步的问题。

于 2013-03-19T12:26:44.623 回答