سلام
وقتی میگن واسه امنیت سایتی که نوشتی چیکار کردی؟
یعنی دقیقا چیکار باید کرده باشم؟

سلا
خوب اول شما بگو چکارایی بلدی بکنی؟

خوب من فقط تنها کاری که واسه سایتم میکنم اینه که به کاربرای مختلف برای دسترسی به صفحات مخصوص به خودشون با session مجوز میدم
پسوردهامو هش میکنم که البته بیفایده است
فایلهامو موقع اپلود چک می کنم
و فایلهای مهم رو رمز میکنم
و واسه جلوگیری از اس کیو ال اینجکشن از ارسال پارامتر توی پروسیجرام استفاده می کنم به جای اینکه مستقیم متغییر رو برابر مقدارش بزارم

خوب برای اجازه دادن به صفحات بهتره که از تنظیمات webconfig
http://www.dotnettips.info/post/212/%DA%86%DA%A9-%D9%84%DB%8C%D8%B3%D8%AA-%D8%A7%D9%85%D9%86%DB%8C%D8%AA%DB%8C-%D8%AA%D9%86%D8%B8%DB%8C%D9%85%D8%A7%D8%AA-web-config-%D8%AF%D8%B1-asp-net

و احراز هویت در webconfig استفاده کنی که یه سرچ بزنی پیدا میکنی

کار دیگه ای لازم نیست بکنم؟
برای امنیت xss,sqlinjection ,webconfig کافیه؟

جلو گیری از حملات مختلف

اس کیو ال اینجکشن و xss این ها دو تا از حملات خطرناک هستن

تحقیق کن چیزای خوبی گیرت میاد

کار دیگه ای لازم نیست بکنم؟
برای امنیت xss,sqlinjection ,webconfig کافیه؟


میشه گفت همین ها کافیه
البته واسه upload کردنت مطوئنی که امن هست و مشکلی نداره؟

نه بهم اینطوری گفتند توی این سایت پرسیدم

استانداری به اسم owasp هست که مهمترین حملات رو در سال دسته بندی میکنه
از اونا استفاده کن
همه این حملات که اسم برده شده انواع مختلف و راه های نفوذ مختلفی داره که باید از اونا جلوگیری بشه
علاوه بر اون مواردی مثل miss configuration ها هم هستند که باعث حملات مختلفی میشه

در مورد owasp ,havij,acuntiex یاد گرفتم تا حدی اما در مورد miss configuration چیزی نمیدونم
میشه راهنماییم کنید

در مورد امکاناتی مثل LDAP تحقیق کن
یا در مورد نام گذاری فایل ها در سرور و یا weak password ها و همچنین نحوه bypass کردن پسوندها در iis 6
برای اسکن کردن هم هویج به درد پیدا کردن آسیب پذیری نمیخوره،از acuntix استفاده کن اما بدون این نرم افزار هم فقط در مورد sqli و xss به درد میخوره اما 100% نیست
اگر هم خواستین میتونین آدرس بدین خودم هم بعضی موارد رو چک کنم
به عقیده من امنیت رو باید در زمان تولید یک محصول ضمیمه کرد بعد از تولید هزینه ی بالایی داره