क्या मुझे अपने सभी पृष्ठों पर `[ValidateAntiForgeryToken] और @ Html.AntiForgeryToken()` का उपयोग करने की आवश्यकता है?

Question

सभी अपने प्रोजेक्ट के पेज प्रमाणीकरण की जरूरत है .. और आम तौर पर मैं अपने नियंत्रक पर [ValidateAntiForgeryToken] and @Html.AntiForgeryToken() का उपयोग करें और देखें न .. केवल लॉगिन पृष्ठ यह है ..

1. वे [ValidateAntiForgeryToken] and @Html.AntiForgeryToken() क्या हैं ??
2. क्या मुझे उनका उपयोग करने की ज़रूरत है ??
3. मुझे किस कुकीज का उपयोग करना है ??

मेरा वेब.कॉन्फिग इस तरह का हिस्सा है;

<authorization> 
    <deny users="?" /> 
</authorization> 
<authentication mode="Forms"> 
    <forms loginUrl="~/User/Login" timeout="30" cookieless="UseDeviceProfile" name="AbosSMSP" /> 
</authentication> 

मेरी त्रुटि इस तरह है;

Answer 1

एंटीफोर्गरीटोकन के बारे में सोचें यह सुनिश्चित करने का एक तरीका है कि एक पोस्ट एक्शन में आने वाला अनुरोध वास्तव में आपके आउटपुट दृश्य से उत्पन्न होता है। यह क्रॉस साइट स्क्रिप्टिंग हमलों को रोकता है और मुझे लगता है कि यह पोस्ट रीप्ले हमलों को भी संभालता है।

आपके आवेदन के सामने वाले दरवाजे को सुरक्षित करना एक अच्छी शुरुआत है, यह लोगों को अपने डेटा को ब्रूट फोर्स द्वारा चुराया जाता है, हालांकि, यह सभी प्रकार के हमलों को रोकता नहीं है। सोशल इंजीनियरिंग और फ़िशिंग जैसी चीज़ें किसी को आपकी साइट पर लॉगिन पृष्ठ को तोड़ने के बिना दे सकती हैं।

एक बार, उन सभी प्रकार की नीचताएं होती हैं जिन्हें वे प्राप्त कर सकते हैं, इसलिए ओएसडब्ल्यूएपी सिफारिशों को देखें और देखें कि क्या कोई अन्य हमले हैं जिनके लिए आप कमजोर हो सकते हैं। http://www.ergon.ch/fileadmin/doc/Airlock_Factsheet_OWASP_en.pdf

यदि संदेह है, तो आप संवेदनशील डेटा की देखभाल कर रहे हैं, तो आप कुछ सौ स्टर्लिंग के लिए नैतिक हैकर्स द्वारा आपकी साइट पेन का परीक्षण कर सकते हैं, तो मैं इसकी अनुशंसा करता हूं, क्योंकि वे उन चीज़ों को खींचेंगे जो आप शायद सोच।

सुरक्षा प्रवेश पृष्ठ पर

1. Antiforgerytoken के लिए मेरा मुख्य युक्तियां
2. धीरे सब प्रमाणीकरण द्वारा कम से कम एक दूसरे के नीचे का प्रयास
3. एक खाता लागू (जानवर अव्यावहारिक बल बनाता है) n पर प्रक्रिया को लॉक अमान्य लॉगऑन की मात्रा
4. हैकर्स को रोकने के लिए हमेशा अपने असफल लॉग इन पर एक सामान्य त्रुटि संदेश का उपयोग करें, यह जानने के लिए कि लॉगिन का कौन सा हिस्सा गलत है
5. हमेशा अपना एन्क्रिप्ट करें एक नमक के साथ DB में पासवर्ड, नमक
6. हमेशा कि किसी भी डेटा प्रदर्शित या पुनः प्राप्त है कि उपयोगकर्ता
7. हमेशा का उपयोग करें parameterised एसक्यूएल के लिए मान्य है एक चोरी डेटाबेस पर एक इंद्रधनुष हमले को रोकने के प्रति उपयोगकर्ता होना चाहिए
8. अपने यूआरएल में चारों ओर पारित आईडी को संशोधित करने और संशोधित करने के लिए विचार या प्रत्यक्ष संदर्भ हमले पर प्रयास को रोकने के लिए विचार

इसके बाद, मुझे लगता है कि आप पेन पेन परीक्षण को उठाएंगे और आपको सेट करेंगे एक सुरक्षित साइट के लिए एक अच्छा स्टीड