Seguridad en las aplicaciónes WEB con .NET

1. ASP.NET
Guido Ticona Hurtado
guidoti@gmail.com

2. Tipos de Intrusión
SQL Injeccion
Parameter Tampering
XSS
CSRF

3. XSS
 Asegurar que todas las salidas estén codificadas como
HTML.
 No permitir que el texto proporcionado por el usuario
termine en una cadena de un atributo de un elemento
HTML.
 Prevenga el uso de Internet Explorer 6; para esto,
revise Request.Browser.
 Conozca el comportamiento de su control y sepa si
codifica la salida como HTML. En caso contrario,
codifique los datos que van hacia el control.
 Use la biblioteca Anti-Cross Site Scripting (AntiXSS)
con la funcion AntiXss.Htmlencode().

4. CSRF
 La especificación de HTTP para las solicitudes
GET da a entender que las solicitudes GET
sólo se deben usar para recuperar datos y no
para modificar el estado.
 Asegurar de que las solicitudes no se puedan
reproducir si un atacante usó JavaScript para
imitar una solicitud POST de un formulario.
 Prevenir cualquier tipo de acciones mediante
GET. Por ejemplo, no permita la creación ni la
eliminación a través de una dirección URL.
 Usar Html.AntiForgeryToken() y
ValidateAntiForgeryToken()

5. Alteración Parámetros
Usar [Bind(Exclude="UserId")]
No Confiar en los datos de los usuarios
Verificar el tipo de dato