c# - .NET 敏感数据暴露漏洞修复
问题描述
我的 .NET 应用程序在通过渗透测试后存在暴露敏感数据的漏洞。我将使用以下简单的网络应用程序来说明我的问题。
该应用程序获取值 - “秘密短语”并将其提交给服务器。
根据渗透测试结果,它指出:
影响
通过利用其他一些安全问题,攻击者可以从页面响应中获取秘密短语答案。例如,通过利用系统跨站点脚本的存在,可以交付持久有效负载,然后可以使用该有效负载从应用程序响应中抓取这些值。然后,此信息可用于访问用户帐户,并可能用于执行进一步的攻击。
证据
以下 HTTP 请求/响应显示了从页面返回的安全问题答案
补救建议
在从服务器返回之前,在所有响应中屏蔽或删除敏感数据,例如秘密答案。
我的应用程序已经处理了 XSS 预防攻击,我也强制使用 TLS,所以我对这个建议有些困惑:
“删除敏感数据,例如所有回复中的秘密答案”
这是否像我后面的代码一样简单,我确保在完成所有逻辑后将文本框值设置为空?如果是,是否有更快的方法来执行此操作,例如通过 Response 对象?
解决方案
HTTPS 加密数据。如果您必须使用 http,那么您需要使用公钥和私钥加密系统。
因此,首先客户端向服务器请求公钥。然后客户端使用所述公钥加密数据。如果没有只有服务器拥有的私钥,数据就无法解密。
您需要在服务器上安装一个返回公钥的 get 请求处理程序。您还需要一种方法来使用公钥加密客户端上的数据。最后是服务器上的一个函数,用于处理发布请求并解密数据。
这就是 https 的工作原理,因此最好使用 https:https://nodejs.org/api/https.html 在客户端和服务器之间创建安全 连接。(假设您使用的是节点服务器)。
如果您有 https,则不需要加密,但如果您使用 http,则需要。
推荐阅读
- javascript - Typescript - 为什么 AxiosPromise 没有属性“.finally”?
- html - css 在一个 div 中居中一个表格,并在另一个 div 中居中该 div
- java - Oracle 错误 - ORA-28374:在钱包中找不到键入的主密钥
- c++ - Visual Studio 2015 中的调试缓慢——无法关闭页堆?
- docker - 使用密码文件中的初始数据创建自定义 Neo4j Docker 映像
- node.js - 在 Node 中比较 hmac 签名的首选方法是什么?
- r - 使用 R 中的开始和结束标志确定事件的存在和唯一 ID
- node.js - 如何为 npm install 更改节点的堆栈大小
- r - 如何仅根据小数点后的最大值保留观察结果?
- php - 联盟路线、集装箱和 PDO