【发布时间】:2011-04-25 05:52:28
【问题描述】:
我在整个互联网上搜索,试图获得有关像网上银行网站这样真正安全的网站的安全实践指南,但没有找到。
我的兴趣是了解您在以下领域使用的做法:
- 通信:绝对使用 SSL ... 任何额外的技巧来防止“中间人”攻击。
- 身份验证:用户名 + 密码 + 验证码 + 时间限制 + 强制定期更改。
- 页面之间的导航:有这种东西吗?
- 防止 XSS 和 XSRF:已经在平台中。
- 加密客户端和服务器上的敏感数据:到底是什么?客户端应该有敏感数据吗?
- 微调授权:显示/隐藏+执行命令+权限。
- 审计 ?什么 ?以及这与日志记录有何不同。
- 页面级安全性:防止对页面内容进行操纵(我们真的需要这个吗?)
以及如何检测渗透尝试?监控 IP,锁定某些帐户...? 有没有办法测试或模拟威胁?
【问题讨论】:
-
您是在制作网上银行网站,还是只是好奇?
-
我真的认为你需要聘请一家公司来咨询这个问题。虽然您应该做很多一般性的事情,但其中大部分确实需要完全了解您的确切系统和计划。
-
是的,这就是为什么我问他是否正在建立一个站点。我想如果您带着
Encrypt senstive data on client and server ??!和any extra tips?的问题来到这里,您可能应该寻求外部帮助。 -
不,我不是在建立银行网站。但由于银行确实需要高级别的安全性,我认为这将产生最佳实践,给黑客带来严峻的挑战。
-
@Noon Silk:如果要聘请一家公司来做这项工作,那么我会做这份工作。 @tster:这是我正在寻找的外部帮助。您可能忘记了,这个网站是供专家回答他们所知道的问题的。
标签: asp.net-mvc security onlinebanking