15 programación web con .net y c#
TRANSCRIPT
INTRUSION WEBASP.NET
Guido Ticona [email protected]
Tipos de Intrusión SQL Injeccion Parameter Tampering XSS CSRF
XSS Asegurar que todas las salidas estén codificadas
como HTML. No permitir que el texto proporcionado por el usuario
termine en una cadena de un atributo de un elemento HTML.
Prevenga el uso de Internet Explorer 6; para esto, revise Request.Browser.
Conozca el comportamiento de su control y sepa si codifica la salida como HTML. En caso contrario, codifique los datos que van hacia el control.
Use la biblioteca Anti-Cross Site Scripting (AntiXSS) con la funcion AntiXss.Htmlencode().
CSRF La especificación de HTTP para las solicitudes GET
da a entender que las solicitudes GET sólo se deben usar para recuperar datos y no para modificar el estado.
Asegurar de que las solicitudes no se puedan reproducir si un atacante usó JavaScript para imitar una solicitud POST de un formulario.
Prevenir cualquier tipo de acciones mediante GET. Por ejemplo, no permita la creación ni la eliminación a través de una dirección URL.
Usar Html.AntiForgeryToken() y ValidateAntiForgeryToken()
Alteración ParámetrosUsar [Bind(Exclude="UserId")] No Confiar en los datos de los usuariosVerificar el tipo de dato