我想针对简单的 dos/xss/sqli/etc 加强我的网站......但我现在不想深入研究安全编程,所以我想使用现成的类或库,比如 linux 中的“mod_security”。
大约一年前,我为 asp.net 找到了一个类似 modsec 的项目,但现在在谷歌中我搜索了太多,但没有什么有趣的。
有人知道 .net 中的 WAF 吗?
问候。
问问题
6157 次
4 回答
5
您永远不会找到“一刀切”的安全包。但是,朝着正确方向迈出的一步可能是查看 Microsoft 的 Anti-XSS 库和安全运行时引擎。这两个项目都可以在 CodePlex上找到。
描述:
(反XSS)
AntiXSS 为用户输入提供了无数的编码功能,包括 HTML、HTML 属性、XML、CSS 和 JavaScript。
白名单:AntiXSS 与标准 .NET 框架编码的不同之处在于使用了白名单方法。所有不在白名单上的字符都将使用编码类型的正确规则进行编码。虽然这是以性能为代价的,但 AntiXSS 的编写考虑了性能。 安全全球化:网络是一个全球市场,跨站点脚本是一个全球性问题。攻击可以在任何地方进行编码,Anti-XSS 现在可以防止以数十种语言编码的 XSS 攻击。
(SRE)
安全运行时引擎 (SRE) 为您现有的网站提供了一个包装器,确保常见的攻击向量不会进入您的应用程序。提供保护作为标准
- 跨站脚本
- SQL 注入
与所有 Web 安全一样,WPL 是深度防御策略的一部分,它为您已经采用的任何验证或安全编码实践添加了一个额外的层。
于 2011-05-12T20:01:09.737 回答
2
没有针对您的特定应用程序开箱即用的 WAF。您需要进行大量微调才能使用 WAF 保护 Web 应用程序。在许多情况下,考虑到安全性来实现应用程序比通过附加层使其安全更容易。对 SQL 语句使用准备好的语句比尝试识别和过滤错误输入要容易得多。通常您希望两者都做(深度防御),但如果您想依赖单一保护措施,使用准备好的语句是更好的选择。
如果您真的想尝试使用 WAF 保护您的应用程序并且您熟悉 mod_security,您可以将它用于您的 ASP.NET 应用程序。您需要一个在您的应用程序前面充当反向代理的专用服务器。Mod_security 可以在那里过滤传入和传出的请求。我从mod_security 官方网站为您获取了有关反向代理设置的利弊:
好处
- 单点访问 - 用作阻塞点,因此您可以整合应用安全设置并简化管理。
- 网络拓扑对外界是隐藏的——因此攻击者将更难以枚举您的 Web 平台。
- 提高性能——如果使用 SSL 加速器/缓存。
- 您可以在后端(IIS、Netscape、ASP、PHP 等)实施漏洞过滤器来保护易受攻击的 Web 服务器或应用程序。
缺点
- 如果反向代理无法处理网络负载,则会出现潜在的流量瓶颈。
- 一个潜在的故障点——如果反向代理出现故障,它可能会导致对其背后的 Web 应用程序的拒绝服务。
- 需要更改网络。
于 2011-05-12T20:23:45.573 回答
0
我的产品ServerDefender VP将与 ASP.NET 一起工作(您只需让软件在“仅记录”模式下运行一段时间,让它了解您的站点或应用程序的流量)。这个 Web 应用程序防火墙在最初提出问题时是新的,但现在已经相当成熟。
在安全性方面,ServerDefender VP 再次保护了 XSS、SQL 注入等常见威胁。它还有助于实现 PCI 合规性,并具有强大的日志记录和警报功能。它与其他一些 WAF 选项的区别可能在于它的可用性和简单的用户界面。
于 2013-01-28T22:35:16.923 回答
-1
没有适用于您的特定应用的开箱即用的 WAF
很抱歉不同意。
基于 Incapsula Cloud 的 WAF将为您提供开箱即用的即插即用解决方案,它适用于每个平台(当然包括 asp.net)。它不需要您的维护/定制(这是由专门的安全团队在全球范围内完成的),并且初始设置本身只需 5 分钟(通过简单的 DNS 数据更改完成)。
话说回来:
这不是免费计划的一部分。因此,与“mod_security”不同,这将花费您每月几十美元。
从好的方面来说,与“mod_security”和其他操作系统和/或云解决方案不同,这是一个符合 PCI 的 WAF,它说明了它提供的安全级别。如果您正在考虑处理自己的交易,这一点尤其重要。
同样,从好的方面来说,这是一个高度可定制的解决方案,为有特定需求的高端用户提供易于使用的 GUI 和 API。
另外,由于这是一个基于 Cloud CDN 的解决方案,由于 Global-Proxy 和 CDN 缓存功能,您将获得显着的性能提升。
于 2012-07-12T08:10:20.583 回答