我希望针对简单的dos / xss / sqli / etc加强我的网站... 但我现在不想深入研究安全编程,所以我想在linux中使用类似“mod_security”的现成类或库。
大约一年前,我发现了一个类似modsec for asp.net的项目,但现在谷歌我搜索得太多但没什么有趣的。
任何人都知道.net中的WAF吗?
问候。
答案 0 :(得分:5)
你永远不会找到'一刀切'的安全包。但是,朝着正确方向迈出的一步可能是看看微软的Anti-XSS库和安全运行时引擎。这两个项目都可以是found on CodePlex。
说明
(反XSS)
AntiXSS提供了无数的编码 用户输入的功能,包括 HTML,HTML属性,XML,CSS和 的JavaScript。
白名单:AntiXSS与标准.NET框架编码不同 通过使用白名单方法。所有 不在白名单上的字符会 使用正确的规则进行编码 编码类型。虽然这来了 在性能成本AntiXSS已经 以记住表现而写的。 安全全球化:网络是全球市场和跨网站 脚本编写是一个全球性问题。一次袭击 可以在任何地方编码,以及Anti-XSS 现在可以防止编码的XSS攻击 几十种语言。
(SRE)
安全运行时引擎(SRE) 提供你周围的包装 现有的网站,确保 常见的攻击向量不能成功 到您的申请。保护是 作为
的标准提供
- 跨站点脚本
- SQL注入
与WPL的所有网络安全一样 防御深度战略的一部分, 为任何添加额外的图层 验证或安全编码实践 你已经采纳了。
答案 1 :(得分:2)
没有适合您特定应用的开箱即用的WAF。您需要进行大量微调才能使用WAF保护Web应用程序。在许多情况下,考虑到安全性而不是通过附加层使其安全,实现应用程序会更容易。为SQL语句使用预准备语句比尝试识别和过滤错误输入要容易得多。通常你想要同时做(深度防御),但如果你想依靠单一的保护措施,使用预备语句是更好的选择。
如果您真的想尝试使用WAF保护应用程序并且熟悉mod_security,则可以将它用于ASP.NET应用程序。您需要一个专用服务器,在您的应用程序前充当反向代理。 Mod_security可以在那里过滤输入和传出请求。我从official mod_security website获取了有关反向代理设置的优缺点:
<强>优点
<强>缺点
答案 2 :(得分:0)
没有适合您特定应用的开箱即用的WAF
很抱歉不同意。
Incapsula Cloud based WAF将为您提供开箱即用的即插即用解决方案,它适用于所有平台(当然包括asp.net)。它不需要您的维护/定制(这由专门的安全团队在全球级别完成),初始设置本身只需5分钟(通过简单的DNS数据更改完成)。
说完了:
这不是免费计划的一部分。因此,与“mod_security”不同,这将使您每月花费几十美元。
从好的方面来说,与“mod_security”和其他操作系统和/或云解决方案不同,这是一个符合PCI标准的WAF,它说明了它提供的安全级别。如果您正在考虑处理自己的交易,那么这至关重要。
同样,从好的方面来说,这是一个高度可定制的解决方案,为具有特定需求的高端用户提供易于使用的GUI和API。
作为一个额外的好处,因为这是一个基于云CDN的解决方案,由于全局代理和CDN缓存功能,您将获得显着的性能提升。
答案 3 :(得分:0)
我的产品ServerDefender VP将与ASP.NET一起开箱即用(您只需要让软件在“仅记录”模式下运行一段时间,让它了解流量到来的流量您的网站或应用)。这个Web应用程序防火墙在问题最初被问到时是新的,但现在相当成熟。
在安全性方面,ServerDefender VP再次保护XSS,SQL注入等常见威胁。它还有助于实现PCI合规性,并具有强大的日志记录和警报功能。它与其他一些WAF选项的区别在于它的可用性和简单的用户界面。