ですから、私はこの質問をグーグルで調べていますが、ほとんどすべての関連記事はユーザーログインなどのあるWebサイトに関するものであるため、明確な例を見つけることができません。
したがって、私のシナリオは次のとおりです。asp.netMVC3 Webサイト、ユーザーログインなし、何もありません。私はそこにいくつかのフォームを持っていますが、連絡先といくつかの計算機能があります。
Nhibernateを使用しており、web.configではなくコード自体にSmtpサーバーのクレデンシャルがあります。カスタムエラーページもあり、postメソッドには[HttpPost]属性があります。
最後の機能として、タイトルのリストを取得するAJAX / json getメソッドがあります(このコントローラーメソッドには[AcceptVerbs(HttpVerbs.Get)]属性があります)。
ここにいくつかの大きなセキュリティホール(SQLインジェクション、クロスサイトスクリプティング)がありませんか?
みんなありがとう
それでもDDoSおよびDoS攻撃に対して脆弱であり、httpsを使用しない場合は、MiM攻撃に対して脆弱になります。
NHibernateとASP.NETMVC3は、ほとんどのトラックをカバーするはずですが。適切なフォーム検証クライアントとサーバー側がなく、db入力がサニタイズされていない場合は非常に驚きます。
データをどのように管理しますか?-管理者専用のログインはありますか?
もしそうなら、あなたにそれを保護させてください、そして追加の手段のために、それをつけないで/login/ください/admin/!
脆弱ではない攻撃の種類は、認証バイパスまたは特権昇格の種類のみです。OWASPトップ10の残りの部分(およびそのことについてはSANSトップ25 http://www.sans.org/top25-software-errors/)は引き続き適用されます。
典型的なSQLインジェクションとXSSの脆弱性にもかかわらず、OSコマンドインジェクションやパストラバーサルなど、他にも多くの「インジェクション」タイプの脆弱性に注意する必要があります。ホスティング環境の保護(Webサーバー、アプリケーションサーバー、およびサーバー自体の強化)にも注意する必要があることを忘れないでください。