asp.net mvc网站的安全最佳实践？

Question

我在互联网上搜索试图获得有关像网上银行网站这样真正安全的网站的安全实践的指导，但没有发现任何。

我的兴趣是了解您在以下方面使用的做法：

1. 沟通：绝对使用SSL ...任何额外提示，以防止“中间人”攻击。
2. 身份验证：用户名+密码+验证码+时间限制+强制执行定期更改。
3. 页面之间的导航：有这样的事吗？
4. 防止XSS和XSRF：已经在平台中。
客户端和服务器上的
5. 加密敏感数据：具体到底是什么？客户端是否应该有敏感数据？
6. 微调授权：显示/隐藏+执行命令+权限。
7. 审核？什么 ？以及它与日志记录的区别。
8. 页面级安全性：阻止页面内容中的操作（我们真的需要这个吗？）

如何检测渗透尝试？监控IP，锁定某些账户......？ 有没有办法测试或模拟威胁？

Answer 1

我将从PCI-DSS指南开始，作为保护数据的基准。

PCI-DSS是支付卡行业数据安全标准。这是业界首次尝试制定保护银行业区数据的指导方针。该指南专门针对持卡人数据，但通常是保护数据的重要资源。 PCI要求包括年度现场审核和季度网络扫描。

另一个好的资源是OWASP，它提供了一般的Web应用程序安全性指南

OWASP详细介绍了如何执行威胁建模，测试（和纠正）常见漏洞。快速启动前往OWASP Top Ten