c# - .NET 敏感数据暴露漏洞修复

我的 .NET 应用程序在通过渗透测试后存在暴露敏感数据的漏洞。我将使用以下简单的网络应用程序来说明我的问题。

该应用程序获取值 - “秘密短语”并将其提交给服务器。

根据渗透测试结果，它指出：

影响

通过利用其他一些安全问题，攻击者可以从页面响应中获取秘密短语答案。例如，通过利用系统跨站点脚本的存在，可以交付持久有效负载，然后可以使用该有效负载从应用程序响应中抓取这些值。然后，此信息可用于访问用户帐户，并可能用于执行进一步的攻击。

证据

以下 HTTP 请求/响应显示了从页面返回的安全问题答案

补救建议

在从服务器返回之前，在所有响应中屏蔽或删除敏感数据，例如秘密答案。

我的应用程序已经处理了 XSS 预防攻击，我也强制使用 TLS，所以我对这个建议有些困惑：

“删除敏感数据，例如所有回复中的秘密答案”

这是否像我后面的代码一样简单，我确保在完成所有逻辑后将文本框值设置为空？如果是，是否有更快的方法来执行此操作，例如通过 Response 对象？

标签： c#.netowasp

HTTPS 加密数据。如果您必须使用 http，那么您需要使用公钥和私钥加密系统。

因此，首先客户端向服务器请求公钥。然后客户端使用所述公钥加密数据。如果没有只有服务器拥有的私钥，数据就无法解密。

您需要在服务器上安装一个返回公钥的 get 请求处理程序。您还需要一种方法来使用公钥加密客户端上的数据。最后是服务器上的一个函数，用于处理发布请求并解密数据。

这就是 https 的工作原理，因此最好使用 https：https://nodejs.org/api/https.html 在客户端和服务器之间创建安全连接。（假设您使用的是节点服务器）。

如果您有 https，则不需要加密，但如果您使用 http，则需要。