1

単純な dos/xss/sqli/etc に対して自分の Web サイトを強化したいのですが、今のところセキュリティ プログラミングについて深く掘り下げたくないので、Linux の「mod_security」のような既製のクラスまたはライブラリを使用したいと考えています。

約 1 年前に asp.net の modsec のようなプロジェクトを見つけましたが、現在 Google で検索しすぎましたが、興味深いものは何もありませんでした。

.net の WAF について何か知っている人はいますか?

よろしく。

4

4 に答える 4

5

「フリーサイズ」のセキュリティ パッケージを見つけることはできません。ただし、正しい方向への一歩は、Microsoft の Anti-XSS ライブラリと Security Runtime Engine を調べることかもしれません。どちらのプロジェクトもCodePlexにあります。

説明:

(アンチXSS)

AntiXSS は、HTML、HTML 属性、XML、CSS、JavaScript など、ユーザー入力用の無数のエンコード機能を提供します。

ホワイト リスト: AntiXSS は、ホワイト リスト アプローチを使用することで、標準の .NET フレームワーク エンコーディングとは異なります。ホワイト リストにないすべての文字は、エンコード タイプの正しいルールを使用してエンコードされます。これにはパフォーマンスのコストがかかりますが、AntiXSS はパフォーマンスを考慮して作成されています。 安全なグローバリゼーション: Web はグローバルな市場であり、クロスサイト スクリプティングはグローバルな問題です。攻撃はどこにでもコーディングできます。Anti-XSS は、数十の言語でコーディングされた XSS 攻撃から保護するようになりました。

(SRE)

Security Runtime Engine (SRE) は、既存の Web サイトのラッパーを提供し、一般的な攻撃ベクトルがアプリケーションに到達しないようにします。保護は標準で提供されます

  • クロスサイトスクリプティング
  • SQL インジェクション

すべての Web セキュリティと同様に、WPL は多層防御戦略の一部であり、既に採用している検証や安全なコーディング プラクティスに追加のレイヤーを追加します。

于 2011-05-12T20:01:09.737 に答える
2

特定のアプリケーションでそのまま使用できる WAF はありません。WAF で Web アプリケーションを保護するには、多くの微調整が必​​要になります。多くの場合、セキュリティを考慮してアプリケーションを実装する方が、レイヤーを追加してセキュリティを確保するよりも簡単です。SQL ステートメントにプリペアド ステートメントを使用することは、不正な入力を特定してフィルター処理するよりもはるかに簡単です。通常は両方 (多層防御) を実行する必要がありますが、単一の保護手段に依存する場合は、準備済みステートメントを使用する方が適切なオプションです。

本当に WAF でアプリケーションを保護したいと考えていて、mod_security に精通している場合は、それを ASP.NET アプリケーションに使用できます。アプリケーションの前でリバース プロキシとして機能する専用サーバーが必要です。Mod_security は、そこで着信および発信リクエストをフィルタリングできます。リバース プロキシのセットアップに関する公式の mod_security Web サイトから長所と短所を取得しました。

利点

  • 単一アクセス ポイント – チョーク ポイントとして機能するため、セキュリティ設定の適用を統合し、管理を容易にします。
  • ネットワーク トポロジは外界から隠されているため、攻撃者が Web プラットフォームを列挙することはより困難になります。
  • パフォーマンスの向上 - SSL アクセラレータ/キャッシングを使用した場合。
  • 脆弱性フィルターを実装して、バックエンド (IIS、Netscape、ASP、PHP など) で脆弱な Web サーバーまたはアプリケーションを保護できます。

短所

  • リバース プロキシがネットワーク負荷を処理できない場合の潜在的なトラフィック ボトルネック。
  • 潜在的な障害点 - リバース プロキシがダウンすると、その背後にある Web アプリケーションに対してサービス拒否が発生する可能性があります。
  • ネットワークへの変更が必要です。
于 2011-05-12T20:23:45.573 に答える
0

私の製品であるServerDefender VPは、そのまま ASP.NET で動作します (ソフトウェアを一定期間「ログのみ」モードで実行させて、サイトまたはアプリへのトラフィックを学習させる必要があります)。この Web アプリケーション ファイアウォールは、質問が最初に行われた頃には新しく、現在ではかなり成熟しています。

セキュリティに関しては、ServerDefender VP は、XSS、SQL インジェクトなどの一般的な脅威を再び保護します。また、PCI コンプライアンスの達成にも役立ち、強力なログおよびアラート機能を備えています。他の WAF オプションと一線を画している可能性が高いのは、その使いやすさとシンプルなユーザー インターフェイスです。

于 2013-01-28T22:35:16.923 に答える
-1

特定のアプリケーションですぐに使用できる WAF はありません。

同意できず申し訳ありません。

Incapsula Cloud ベースの WAFは、すぐに使用できるプラグ アンド プレイ ソリューションを提供し、すべてのプラットフォーム (もちろん asp.net を含む) で動作します。お客様側でのメンテナンスやカスタマイズは不要で (これは専任のセキュリティ チームによってグローバル レベルで行われます)、初期設定自体は 5 分しかかかりません (単純な DNS データの変更によって行われます)。

そうは言っても:

  1. これは無料プランの一部ではありません。したがって、「mod_security」とは異なり、これには月に数十ドルの費用がかかります。

  2. プラス面としては、「mod_security」や他の OS および/またはクラウド ソリューションとは異なり、これは PCI 準拠の WAF であり、提供するセキュリティのレベルについて何かを述べています。また、自分のトランザクションを処理することを考えている場合、これは特に重要です。

  3. 繰り返しますが、プラス面として、これは高度にカスタマイズ可能なソリューションであり、特定のニーズを持つハイエンド ユーザー向けの使いやすい GUI と API が付属しています。

  4. 追加のボーナスとして、これは Cloud CDN ベースのソリューションであるため、グローバル プロキシおよび CDN キャッシング機能により、パフォーマンスが大幅に向上します。

于 2012-07-12T08:10:20.583 に答える