Applikationssicherheit

Benutzereingaben anonymer Sitzungen
HTML und JavaScript Code werden vollständig entfernt
Benutzereingaben authentifizierter Sitzungen
HTML und JavaScript Code werden gemäss Konfiguration entfernt
Verwendung einer Content Security Policy
Verhindern von ungewolltem Sideloading, siehe dazu: IIS Web.Config
Selfhosting aller Ressourcen
Erschwert Supply Chain Angriffe

Erkennung und Abwehr eines Sitzungsdiebstahls
Siehe dazu: Konfiguration Missbrauchserkennung & Prävention
Erkennung und Abwehr von Mailflooding
Siehe dazu: Konfiguration Missbrauchserkennung & Prävention
Minimieren der Angriffsfläche auf der Ebene des Webservers
Siehe dazu: IIS Web.Config
Verwendung der Transportverschlüsselung
Speicherort von Ressourcen
Alle Konfigurationsdaten, Logfiles und verwaltete Ressourcen wie Bilder und Dokumente werden ausserhalb dem «Web Verzeichnis» gespeichert. Die Ausnahme ist prinzipbedingt «web.config». Die Applikation erwartet dort jedoch nie hinterlegte Zugangsdaten irgendwelcher Natur.

Validierung der Eingabedaten
Prüfung des Inhalts auf den erwarteten Datentyp
Konsequente Verwendung parametrisierter Abfragen
An die Datenbank durchgereichte Eingabedaten werden immer als Wert behandelt und nicht interpretiert
Prinzip der geringsten Privilegien
Verwendung von Datenbankbenutzern mit möglicht geringen Berechtigungen
Auslieferung der Daten ausschliesslich mittels Serialisierung von Instanzen implementierter Klassen
Erschwert/verunmöglicht das Ausspähen der Datenbankstruktur
Keine Ausgabe von Stacktraces aus dem Business- oder Persistenzlayer
Erkennen von «Brute Force Angriffen»
Benutzerkonten und/oder IP Adressen können autom. gesperrt werden

Verstösse werden aufgezeichnet
Verursacher können automatisch gesperrt werden, siehe dazu: Konfiguration Missbrauchserkennung & Prävention
Umgang mit den durch die Betrugserkennung registrierten IP Adressen und Benutzerkonten
Die Dokumentation dazu finden Sie unter «Gesperrte Objekte»