最近我被问到如何防止恶意自动绑定攻击,因为客户端希望在他的MVC网站上实现OWASP标准。我知道该参数应该根据可接受值的范围进行验证,也可以找到this等。但我的问题是你知道这方面有什么好的做法吗?为了防止安全敏感字段受到MVC中的那种攻击?
任何指向正确方向的点都会很好
答案 0 :(得分:0)
添加CAPTCHA是表单提交的一个好习惯
我知道这是在模型绑定之后,但它会阻止自动攻击
我个人使用CAPTCHA联系我们表格和注册表格
更强大的方法是向用户发送验证链接,例如:
如果用户想要注册服务,请申请他的电子邮件地址和CAPCHA验证。如果CAPTCHA已经过验证且地址看起来有效,则向他发送验证链接到他的地址
当用户点击他收到的链接时,他将被重定向到接受其应填写的其余表单信息的页面[在您验证链接中的信息有效并且您已发送后实际上这个信息]
这样您就可以消除用户是自动脚本的可能性。
请参阅我最近实施的this example