Перейти на PRO

Какие методы обеспечения безопасности приложения ты знаешь?

Тип вопроса: Безопасность Вероятность: 28% Категория: C# Разработчик

Ответ

Обеспечение безопасности — многослойный процесс ("глубинная защита"). Вот ключевые методы и практики, которые я применяю при разработке:

1. Защита от инъекций (Injection)

  • SQL-инъекции: Всегда используйте параметризованные запросы или ORM (Entity Framework), которые делают это автоматически. 
    // ПЛОХО: Уязвимо
var sql = $"SELECT * FROM Users WHERE Name = '{userInput}'";
// ХОРОШО: Безопасно
var sql = "SELECT * FROM Users WHERE Name = @name";
command.Parameters.AddWithValue("@name", userInput);
  • XSS (Межсайтовый скриптинг): Кодируйте все данные, выводимые в HTML (Html.Encode() в ASP.NET). Используйте Content Security Policy (CSP).

2. Аутентификация и авторизация

  • Аутентификация: Используйте стандартные, проверенные библиотеки (ASP.NET Core Identity, OAuth 2.0 / OpenID Connect с провайдерами вроде Auth0, Azure AD). Храните пароли только в хешированном виде с "солью" (используйте PasswordHasher из Identity или алгоритмы типа Argon2, PBKDF2).
  • Авторизация: Реализуйте ролевую ([Authorize(Roles = "Admin")]) или политико-ориентированную модель ([Authorize(Policy = "CanEdit")]). Следуйте принципу наименьших привилегий.

3. Защита данных

  • Шифрование:
    • В транзите: Обязательное использование HTTPS (TLS 1.2+). Настраивайте HSTS.
    • В покое: Шифруйте конфиденциальные данные в БД (например, номера карт) с помощью симметричных алгоритмов (AES). Ключи шифрования храните в защищенных хранилищах (Azure Key Vault, AWS KMS).
  • Чувствительные данные в логах: Никогда не логируйте пароли, токены, PII. Используйте маскирование. 
    logger.LogInformation("User {UserId} logged in", userId); // ХОРОШО
logger.LogInformation("User with password {Password} logged in", rawPassword); // КАТЕГОРИЧЕСКИ НЕТ

4. Защита от атак на сессии и куки

  • Устанавливайте для кук флаги Secure (только HTTPS), HttpOnly (недоступны из JavaScript), SameSite (защита от CSRF).
  • Используйте встроенную защиту от CSRF в ASP.NET Core ([ValidateAntiForgeryToken]).

5. Безопасность API

  • Валидация входных данных: Всегда на стороне сервера, используя Data Annotations, FluentValidation.
  • Rate Limiting: Ограничение запросов для предотвращения DoS/брутфорса (можно через Microsoft.AspNetCore.RateLimiting).
  • CORS: Настройте политики CORS максимально строго, разрешая только необходимые домены.

6. Инфраструктура и зависимости

  • Обновления: Регулярно обновляйте фреймворки, пакеты NuGet и ОС для закрытия известных уязвимостей.
  • Сканирование зависимостей: Используйте dotnet list package --vulnerable или инструменты типа OWASP Dependency-Check, GitHub Dependabot.
  • Secrets Management: Никогда не храните секреты (строки подключения, API-ключи) в коде или конфигах. Используйте переменные окружения, Azure Key Vault, HashiCorp Vault.

7. Мониторинг и реагирование

  • Ведите аудит-логи критических действий (вход, изменение прав, доступ к данным).
  • Настройте алертинг на подозрительную активность (множество неудачных логинов).

Ответ 18+ 🔞

А, безопасность! Ну это ж святое, конечно. Слушай, я тебе как есть, по полочкам разложу, как я этот цирк с конями обычно организую, чтобы потом не пришлось лицом в салат из-за какого-нибудь школьника-скрипткидди.

Вот смотри, главная идея — это как луковица, блядь. Слой за слоем, чтоб злоумышленник, если один слой проломит, упёрся рогом в следующий. Называется «глубинная защита», но по сути — просто не будь идиотом и не клади все яйца в одну корзину.

1. Про инъекции — это основа основ, ёпта. Тут всё просто: если ты в SQL-запрос строку из пользовательского ввода просто так, на живую нитку, пришиваешь — ты конченый идиот, прости меня. Это как в аптеку зайти и крикнуть: «Дайте мне всё, что есть!». Тебе и дадут, вместе с касторкой.

// Вот так НЕ ДЕЛАТЬ НИКОГДА, это пиздец как опасно
var sql = $"SELECT * FROM Users WHERE Name = '{userInput}'"; // Представь, что userInput = `' OR '1'='1`
// А вот так — да, нормально. Параметризованные запросы, они как презервативы для БД.
var sql = "SELECT * FROM Users WHERE Name = @name";
command.Parameters.AddWithValue("@name", userInput);

С XSS та же хуйня — всё, что лезет от пользователя на страницу, надо кодировать, будто оно заразное. Html.Encode() тебе в помощь, не ленись.

2. Кто ты такой и что тебе тут можно? Аутентификация — это «я свой». Бери готовое, не выебывайся. ASP.NET Core Identity, всякие OAuth-провайдеры — они уже все грабли собрали, не надо изобретать свой велосипед с квадратными колёсами. Пароли храни только в хешах, да ещё и с «солью». Представь, что пароль — это твой позорный школьный дневник. Ты же не будешь его на всеобщее обозрение выкладывать? Ты его в сейф, да под три замка.

Авторизация — это «а что мне тут можно?». Роли, политики — используй. Принцип наименьших привилегий — это святое. Бухгалтеру не нужен доступ к панели админа сервера, как и тебе не нужно, чтобы он там ковырялся.

3. Данные — они как девушка, их надо защищать.

  • В пути: HTTPS, и точка. Без него — это как отправлять открытку с признанием в любви через весь класс. Её все прочитают, ещё и припишут что-нибудь похабное.
  • На диске: Если в базе лежит что-то прям очень секретное (типа номеров карт), это надо шифровать. Ключи от этого шифрования — не в коде и не в конфиге рядом. Это как ключ от квартиры под ковриком. Клади их в специальные сейфы: Azure Key Vault, AWS KMS.
  • В логах: Боже упаси логировать пароли, токены, номера паспортов! Это уровень «самострела». Логируй только служебную инфу. 
    logger.LogInformation("User {UserId} logged in", userId); // Да, норм.
logger.LogInformation("User with password {Password} logged in", rawPassword); // Ты что, ебнулся? Немедленно остановись!

4. Сессии и куки — маленькие, но вредные. Настраивай кукам флаги: Secure (чтоб только по HTTPS), HttpOnly (чтоб JavaScript до них не дотянулся), SameSite (чтоб с других сайтов не приползли). И встроенную защиту от CSRF в ASP.NET Core используй ([ValidateAntiForgeryToken]), не игнорируй. Это как мыть руки перед едой — кажется мелочью, но от многих проблем спасает.

5. API — это дверь в твой дом.

  • Валидация: Всё, что приходит, проверяй. На сервере. Доверяй, но проверяй, как говорится. FluentValidation — отличная штука.
  • Rate Limiting: Обязательно ставь ограничения на запросы. Иначе к тебе придут боты и начнут ломиться в дверь, как пьяные соседи в три ночи, пока она не сломается.
  • CORS: Настрой жёстко. Разрешай запросы только с тех доменов, с которых они реально должны приходиться. Не «со всех звезд», а только со своей.

6. Инфраструктура — фундамент, который может сгнить.

  • Обновляй всё. Фреймворки, библиотеки, операционку. Уязвимости находят каждый день. Не быть обновлённым — это как ходить зимой в дырявой обуви. Рано или поздно ноги отмёрзнут.
  • Сканируй зависимости. Запусти dotnet list package --vulnerable и обоссысь со страху, сколько в твоём проекте дыр. Потом залатай.
  • Секреты. Никаких строк подключения и API-ключей в коде! Только переменные окружения или специальные хранилища (Key Vault). Иначе это будет не секрет, а публичное объявление.

7. Наблюдай и реагируй. Пиши логи кто, когда и что сделал. Особенно важные действия: вход, смена прав, удаление данных. И настрой оповещения. Если с одного IP в минуту сто попыток входа — это не пользователь, это хуйня какая-то, и надо бить в колокола.

Вот, короче, так. Не панацея, конечно, но если это всё делать, спать будешь чуть спокойнее. Хотя, кто его знает, эти ебучие хакеры...

Видео-ответы

© ХакСобесов, 2026
support@hacksobesov.com