Elenco di controllo: Protezione di ASP.NET

Le decisioni sulla protezione non devono basarsi su convalide dal lato client; vengono prese sul lato server.

Le identità utilizzate per accedere a risorse remote da applicazioni Web ASP.NET vengono riconosciute chiaramente.

È stato identificato un approccio protetto alla gestione delle eccezioni. In caso di eccezioni, l'applicazione si disattiva in modo protetto.

I controlli Web, i controlli utente e il codice di accesso alle risorse sono tutti suddivisi nei propri assembly per una protezione granulare.

L'input dell'utente viene convalidato per tipo, lunghezza, formato e intervallo. L'input viene controllato prima per i dati noti, validi e sicuri, quindi per quelli dannosi o pericolosi.

I normali controlli HTML, le stringhe di query, i cookie e altre forme di input vengono convalidate utilizzando la classe Regex e/o il codice di convalida personalizzato.

Le verifiche degli intervalli nei controlli server vengono effettuate dai controlli RangeValidator.

I nomi dei file di input sono in formato corretto e la loro validità è verificabile nel contesto dell'applicazione.

MapPath limita la mappatura tra applicazioni, dove appropriato.

L'opzione validateRequest di ASP.NET versione 1.1 è abilitata.

L'opzione cookie HttpOnly consente la protezione su più livelli per contribuire a evitare lo scripting fra siti (in Internet Explorer 6.1 o versioni successive).

Il sito è suddiviso in aree ad accesso con restrizioni e pubbliche.

SSL viene utilizzato per proteggere credenziali e cookie di autenticazione.

Il cookie di autenticazione moduli è limitato alle connessioni HTTPS utilizzando l'attributo requireSSL o la proprietà cookie Secure.

I cookie di autenticazione non sono permanenti.

I cookie di personalizzazione sono separati da quelli di autenticazione.

Le credenziali di rappresentazione (se si utilizza un'identità fissa) vengono crittografate nel file di configurazione utilizzando Aspnet_setreg.exe.

L'elemento <credentials> non viene utilizzato all'interno dell'elemento <forms> per l'autenticazione basata su form (ricorrervi solo per le verifiche).

L'autorizzazione URL viene utilizzata per il controllo dell'accesso di pagine e directory.

Le richieste di autorizzazione Priorità di protezione vengono utilizzate per proteggere l'accesso a classi e membri.

Il recupero del file di configurazione viene bloccato utilizzando HttpForbiddenHandler.

Le credenziali dell'account personalizzato (se utilizzate) vengono crittografate nell'elemento <processModel> mediante Aspnet_setreg.exe.

SSL viene utilizzato per proteggere dati riservati in rete.

I dati sensibili non vengono memorizzati nei cookie, nei campi nascosti dei moduli o nelle stringhe di query.

Le password in testo normale vengono evitate nei file Web.config e Machine.config (per la crittografia delle credenziali si utilizza Aspnet_setreg.exe).

Il cookie della sessione viene protetto mediante SSL su tutte le pagine che richiedono accesso autenticato.

Il servizio di stato sessione (se utilizzato) viene eseguito tramite un account con minori privilegi.

L'accesso ai dati di stato in SQL Server è limitato.

Il canale di comunicazione verso l'archivio dello stato è crittografato (IPSec o SSL).

Lo stato della visualizzazione viene protetto mediante codici di autenticazione dei messaggi (MAC).

Tutti i parametri di input vengono convalidati.

Viene utilizzata la gestione strutturata delle eccezioni.

Pagine di errore generiche con messaggi innocui vengono restituite al client.

L'applicazione distingue fra errori e condizioni di eccezione.

Il processo ASP.NET è configurato per permettere di creare nuove origini di eventi in fase di esecuzione o generare origini di eventi dell'applicazione al momento dell'installazione.

<trace/>
La traccia non è abilitata sui server di produzione.

<trace enabled="false">

<httpRuntime>
maxRequestLength è configurata per impedire agli utenti di caricare file
molto grandi (facoltativo).

<pages>
Se l'applicazione non utilizza lo stato della visualizzazione, enableViewState è impostata su "false".

<pages enableViewState="false" . . ./>

Se l'applicazione utilizza lo stato della visualizzazione, enableViewState e enableViewStateMac sono impostate su "true", per individuare la manomissione di tale stato.

<pages enableViewState="true" enableViewStateMac="true" />

<authentication>
La modalità di autenticazione è configurata in modo appropriato per supportare i requisiti dell'applicazione. Per imporre l'uso di un tipo specifico di autenticazione, si ricorre a un elemento <location> con allowOverride="false".

<location path="" allowOverride="false">  
  <system.web>    
    <authentication mode="Windows" />  
  </system.web></location>

<identity>
Le identità di rappresentazione (se utilizzate) vengono crittografate nel Registro di sistema mediante Aspnet_setreg.exe:

<identity impersonate="true"          
   userName="registry:HKLM\SOFTWARE\YourApp\
identity\ASPNET_SETREG,userName"          
   password="registry:HKLM\SOFTWARE\YourApp\
identity\ASPNET_SETREG,password"/>

<machineKey>
Se più applicazioni Web ASP.NET vengono distribuite sullo stesso server Web, l'impostazione "IsolateApps" garantisce che venga generata una chiave separata per ciascuna applicazione Web.

<machineKey validationKey="AutoGenerate,IsolateApps"
   decryptionKey="AutoGenerate,IsolateApps"      
   validation="SHA1" />

Se l'applicazione Web ASP. NET è in esecuzione in una Web farm, si utilizzano chiavi computer specifiche, che vengono copiate in tutti i server della farm.
Se lo stato della visualizzazione è abilitato, l'attributo validation è impostato su "SHA1".
L'attributo validation è impostato su "3DES" se il cookie di autenticazione moduli deve essere crittografato per l'applicazione.

<httpHandlers>
I tipi di file inutilizzati vengono mappati su HttpForbiddenHandler per impedire il recupero dei file via HTTP. Ad esempio:

<add verb="*" path="*.rem"            
   type="System.Web.HttpForbiddenHandler"/> 

<webServices>
I protocolli inutilizzati vengono disattivati.
La generazione automatica del linguaggio WSDL (Web Services Description Language) è disattivata (facoltativo).

Stato sessione. Per evitare l'affinità con il server, lo stato della sessione ASP.NET viene gestito all'esterno al processo nel database dello stato di SQL Server ASP.NET o nel servizio di stato out-of-process eseguito su un computer remoto.

DPAPI. DPAPI non può essere utilizzato con la chiave computer per crittografare i dati comuni ai quali devono avere accesso tutti i server della farm. Per crittografare dati condivisi su un server remoto, utilizzare un'implementazione alternativa, come 3DES.

Le applicazioni dispongono di chiavi computer distinte.
Utilizzare IsolateApps in <machineKey> oppure elementi <machineKey> specifici per applicazione.

<machineKey validationKey="AutoGenerate,IsolateApps" 
    decryptionKey="AutoGenerate,IsolateApps" . . . />

Per isolare l'applicazione in Microsoft Windows® Server 2003 si utilizzano vari processi (pool applicazione IIS 6.0).

Chiavi computer comuni sono abilitate su tutti i server in una Web farm.

I livelli di attendibilità della protezione dall'accesso di codice consentono di isolare i processo e limitare l'accesso alle risorse di sistema (richiede .NET Framework versione 1.1).

File ASP.NET temporanei

%windir%\Microsoft.NET\Framework\{version}Temporary ASP.NET Files

Account di processo e identità rappresentate ASP.NET: Controllo completo

Directory .NET Framework

%windir%\Microsoft.NET\Framework\{version}

Account di processo e identità rappresentate ASP.NET:
Lettura/Esecuzione
Visualizzazione contenuto cartella

Directory principale sito Web

C:\inetpub\wwwroot

o il percorso al quale è diretto il sito Web predefinito
Account di processo ASP.NET: Controllo completo

Cache assembly globale

%windir%\assembly

Account di processo e identità rappresentate: Lettura

Le autorizzazioni Web IIS sono configurate.
La directory del cestino non è dotata di autorizzazioni Lettura, Scrittura o Esplorazione directory.
Le autorizzazioni Esecuzione sono impostate su Nessuno.