.NET Core 必備安全措施

.NET Core大大簡化了.NET應用程序的開發。它的自動配置和啓動依賴大大減小了開始一個應用所需的代碼和配置量，本文目的是介紹如何建立更安全的.NET Core應用程序。

1.在生產中使用HTTPS

傳輸層安全性（TLS）是HTTPS的官方名稱，你可能據說過它稱爲SSL（安全套接字層），SSL是已棄用的名稱，TLS是一種加密協議，可經過計算機網絡提供安全通訊。其主要目標是確保計算機應用程序之間的隱私和數據完整性。過去，TLS / SSL證書很昂貴，並且HTTPS被認爲很慢，如今機器變得更快，已經解決了性能問題，Let's Encrypt提供免費的TLS證書,這兩項發展改變了遊戲，並使TLS成爲主流。截至2018年7月24日，Google Chrome 將HTTP網站標記爲「不安全」。雖然這在網絡社區引發了至關多的爭議。知名安全研究員特洛伊亨特建立了一個 爲何不適用HTTPS ？跟蹤不使用HTTPS的大型網站的網站。

Let’s Encrypt TLS證書能夠自動化生成和更新，因爲他們是免費的，因此沒有理由不去作！

要在ASP.NET Core應用程序中強制使用HTTPS，ASP.NET Core 2.1版本已經默認支持HTTPS。

----------public void ConfigureServices(IServiceCollection services)  部分：

services.AddMvc(options =>
{
options.Filters.Add(new RequireHttpsAttribute());//全部請求都使用HTTPS
})

---------public void Configure(IApplicationBuilder app, IHostingEnvironment env) 部分：

var options = new RewriteOptions().AddRedirectToHttps();
app.UseRewriter(options);
app.UseHttpsRedirection();

另外一個重要的事情是使用HTTP嚴格傳輸安全性（HSTS）。HSTS是一種Web安全策略機制，能夠保護網站免受協議降級攻擊和cookie劫持。服務器使用名爲Strict-Transport-Security的響應頭字段將HSTS策略傳送到瀏覽器。ASP.NET Core默認發送此標頭，以免在開始時出現沒必要要的HTTP躍點。 具體參考 https://docs.microsoft.com/zh-cn/aspnet/core/security/enforcing-ssl?view=aspnetcore-2.1&tabs=visual-studio 

二、升級到最新版本

按期升級應用程序中的依賴項有多種緣由。安全性是讓您有升級動力的最重要緣由之一。 基礎架構升級一般不如依賴項升級具備破壞性，由於庫做者對向後兼容性和版本之間的行爲更改的敏感性各不相同。話雖如此，當你在配置中發現安全漏洞時，您有三種選擇：升級，修補程序或忽略。在對應用程序進行必要的更改以使用較新版本以後，就應用程序的總體運行情況而言，升級是最安全的。

三、啓用CSRF保護

跨站點請求僞造(Cross-Site Request Forgery )是一種攻擊，強制用戶在他們當前登陸的應用程序中執行不須要的操做。若是用戶是普通用戶，一個成功攻擊可能涉及請求的狀態更改，如轉移資金或更改其電子郵件地址，若是用戶具備提高管理員的權限，則CSRF攻擊可能會危及整個應用程序。

ASP.NET Core具備出色的CSRF支持，ASP.NET Core使用 ASP.NET Core data protection stack 來實現防請求僞造。默認狀況下處於啓用狀態，CSRF令牌將自動添加爲隱藏輸入字段。

若是你使用的是像Angular或React這樣的JavaScript框架，則須要配置CookieCsrfTokenRepository以便JavaScript能夠讀取cookie。參考 https://www.cnblogs.com/tdfblog/p/aspnet-core-security-anti-request-forgery.html 

四、使用內容安全策略防止XSS攻擊

內容安全策略（CSP）是一個增長的安全層，可幫助緩解XSS（跨站點腳本）和數據注入攻擊。 參考 http://www.cnblogs.com/wang2650/p/7785106.html 

五、使用OpenID Connect進行身份驗證

OAuth 2.0是行業標準的受權協議。它使用scope來定義受權用戶能夠執行的操做的權限。可是，OAuth 2.0不是身份驗證協議，而且不提供有關通過身份驗證的用戶的信息。OpenID Connect（OIDC）是一個OAuth 2.0擴展，提供用戶信息，除了訪問令牌以外，它還添加了ID令牌，以及/userinfo能夠從中獲取其餘信息的端點，它還添加了發現功能和動態客戶端註冊的端點。

若是使用OIDC進行身份驗證，則無需擔憂如何存儲用戶、密碼或對用戶進行身份驗證。相反，你可使用身份提供商（IdP）爲你執行此操做，你的IdP甚至可能提供多因素身份驗證（MFA）等安全附加組件。

.NET Core具備良好的OpenID Connect 標準的基礎，咱們能夠很容易的經過Identity Server4 等開源項目實現OpenID Connect的身份認證。

六、安全地存儲敏感數據

應謹慎處理敏感信息，如密碼，訪問令牌等，你不能以純文本形式傳遞，或者若是將它們保存在本地存儲中。因爲（GitHub）的歷史已經一次又一次證實，開發人員並無仔細考慮如何存儲他們的祕密。一個好的作法是將保密信息存儲在保管庫中，該保管庫可用於存儲，提供對應用程序可能使用的服務的訪問權限，甚至生成憑據。HashiCorp的Vault使得存儲機密變得很輕鬆，並提供了許多額外的服務。

七、使用OWASP的ZAP測試您的應用程序

OWASP Zed Attack Proxy簡寫爲ZAP，是一個簡單易用的滲透測試工具，是發現Web應用中的漏洞的利器，更是滲透測試愛好者的好東西。OWASP ZAP安全工具是針對在運行活動的應用程序進行滲透測試的代理。它是一個受歡迎的（超過4k星）免費的開源項目，託管在GitHub上。OWASP ZAP用於查找漏洞的兩種方法是Spider和Active Scan。

Spider工具以URL種子開頭，它將訪問並解析每一個響應，識別超連接並將它們添加到列表中。而後，它將訪問這些新找到的URL並以遞歸方式繼續，爲您的Web應用程序建立URL映射。

Active Scan工具將根據潛在漏洞列表自動測試你選擇的目標。它提供了一個報告，顯示Web應用程序可被利用的位置以及有關漏洞的詳細信息。參考http://www.cnblogs.com/tdcqma/p/5344494.html 

八、讓你的安全團隊進行代碼審查

代碼評審對任何高性能軟件開發團隊都相當重要。咱們全部的生產代碼和官方開源項目都須要經過咱們的專家安全團隊進行分析，但若是你正在處理敏感數據，也許你應該這樣作！

能夠參考的工具：

• https://github.com/security-code-scan/security-code-scan