0

現在、ほとんどがイントラネットのみで、カスタム認証を使用するWebサイトを開発しています。Webサイトにはエラー報告機能が必要です。バックエンドですべてを既に設定しています(データベーステーブル、ASP.NET MVC WebサイトからWCFサービスまでのエラーを追跡するための相関識別子)。

何らかの例外が発生すると、ログに記録され、ユーザーにはフィードバックフォームが表示され、追加の詳細を入力できます。

問題は、明らかに誰かがそのエラー報告リンクを悪用してゴミデータのPOSTを開始したり、DoS攻撃にそのリンクを使用したりする可能性があることです。ログイン中に問題が発生したことをユーザーが報告したい場合があるため、このページを認証で保護したくありません。

ここで問題となるのは、ハッカーや悪意のあるユーザーがエラーレポートフォームを介してWebサイトを攻撃するのを防ぐにはどうすればよいですか?既知の方法とベストプラクティスはありますか(企業のビジネスアプリケーションには少し不適切と思われるキャプチャコードを除く)?

保護を可能な限りシンプルに保ちたいと思います。エラー報告フォーム自体で別の例外を取得するのは良いことではありません。

4

1 に答える 1

1

サイトがイントラネット専用である場合、ファイアウォール内にこれほど多くのハッカーや悪意のあるユーザーが存在するのはなぜでしょうか? :-)

真剣に、認証されたユーザーに対しても、セキュリティのベスト プラクティス (クロスサイト スクリプティングや SQL インジェクションの防止など) を既に適用しているはずです。そのうちの 1 人が自分のコンピューターにマルウェアを持っていて、認証後にブラウザーが悪意のある内容を Web フォームに投稿した場合はどうなるでしょうか?

.net 開発者にとって、この一連の記事は、トップ 10 のセキュリティ脅威から保護するのに非常に役立ちます: http://www.troyhunt.com/2011/12/free-ebook-owasp-top-10-for-net.html

これらのベスト プラクティスをコードにグローバルに適用することに自信が持てたら、イントラネット専用のフィードバック フォームでさらに問題が発生する理由がわかりません。

于 2013-03-19T12:26:44.623 に答える