我想针对简单的 dos/xss/sqli/etc 强化我的网站... 但我现在不想深入研究安全编程,所以我想在 linux 中使用现成的类或库,例如“mod_security”。
大约一年前,我为 asp.net 找到了一个类似 modsec 的项目,但现在我在 google 中搜索了太多,但没有什么有趣的。
有人知道 .net 中的 WAF 吗?
问候。
【问题讨论】:
标签: asp.net .net security firewall web-application-firewall
您永远不会找到“一刀切”的安全包。但是,朝着正确方向迈出的一步可能是查看 Microsoft 的 Anti-XSS 库和安全运行时引擎。这两个项目都可以是found on CodePlex。
说明:
(反XSS)
AntiXSS 提供了无数的编码 用户输入功能,包括 HTML、HTML 属性、XML、CSS 和 JavaScript。
白名单:AntiXSS 不同于标准的 .NET 框架编码 通过使用白名单方法。全部 不在白名单上的字符将 使用正确的规则进行编码 编码类型。虽然这来了 以性能为代价的 AntiXSS 写时考虑到性能。 安全的全球化:网络是一个全球市场,并且是跨站点的 脚本是一个全球性问题。一次攻击 可以在任何地方编码,并且抗 XSS 现在可以防止编码的 XSS 攻击 有几十种语言。
(SRE)
安全运行时引擎 (SRE) 提供了一个包装你的 现有的网站,确保 常见的攻击媒介无法成功 到您的应用程序。保护是 作为标准提供
- 跨站脚本
- SQL 注入
与所有网络安全一样,WPL 纵深防御战略的一部分, 添加一个额外的层到任何 验证或安全编码实践 你已经领养了。
【讨论】:
没有可以为您的特定应用程序开箱即用的 WAF。您需要进行大量微调才能使用 WAF 保护 Web 应用程序。在许多情况下,考虑到安全性来实现应用程序比使用附加层使其安全更容易。为 SQL 语句使用准备好的语句比尝试识别和过滤错误输入要容易得多。通常您希望两者都做(深度防御),但如果您想依赖单一保护措施,则使用准备好的语句是更好的选择。
如果您真的想尝试使用 WAF 保护您的应用程序并且您熟悉 mod_security,您可以将它用于您的 ASP.NET 应用程序。您需要一个在您的应用程序前充当反向代理的专用服务器。 Mod_security 可以在那里过滤传入和传出的请求。我从official mod_security website 获取了关于为您设置反向代理的利弊:
优势
缺点
【讨论】:
没有可以为您的特定应用开箱即用的 WAF
很抱歉不同意。
Incapsula Cloud based WAF 将为您提供开箱即用的即插即用解决方案,它适用于所有平台(当然包括 asp.net)。它不需要您进行维护/定制(这是由专门的安全团队在全球范围内完成的),并且初始设置本身只需 5 分钟(通过简单的 DNS 数据更改完成)。
话虽如此:
这不是免费计划的一部分。因此,与“mod_security”不同,这将花费您每月几十美元。
从好的方面来说,与“mod_security”和其他操作系统和/或云解决方案不同,这是一个符合 PCI 的 WAF,它说明了它提供的安全级别。如果您正在考虑处理自己的交易,这一点尤其重要。
再次强调,这是一个高度可定制的解决方案,为有特定需求的高端用户提供易于使用的 GUI 和 API。
另外,由于这是一个基于云 CDN 的解决方案,由于全球代理和 CDN 缓存功能,您将获得显着的性能提升。
【讨论】:
我的产品ServerDefender VP 可以与 ASP.NET 一起使用(您只需让软件在“仅记录”模式下运行一段时间,让它了解您网站的流量或应用程序)。这个 Web 应用程序防火墙在最初提出问题时是新的,但现在已经相当成熟了。
在安全性方面,ServerDefender VP 再次保护了 XSS、SQL 注入等常见威胁。它还有助于实现 PCI 合规性,并具有强大的日志记录和警报功能。它与其他一些 WAF 选项的区别可能在于它的可用性和简单的用户界面。
【讨论】: