Приемлемая безопасность: отключить ValidateRequest с параметризованными строками SQL и HTML?

Хорошо, читая вокруг, кажется, что здравый смысл состоит в том, чтобы хранить ввод дословно, не вносить никаких корректировок, просто параметризовать для защиты от SQL-инъекций.

Несколько хороших комментариев здесь: Что рекомендации по предотвращению атак xss на PHP-сайте

Затем либо кодируйте HTML (кажется уязвимым), либо используйте XSS-библиотеку для кодирования вывода. Как сказано в приведенной выше ссылке, пункт назначения для данных может не быть браузером в какой-то более поздний момент.

Затем на примере XSS-атак здесь: https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet вводят некоторые из них в базу данных и считывают обратно в браузер. При правильной кодировке вы должны видеть текст, а не запускать скрипт.

Принимая во внимание, что атаки Injection и XSS занимают два первых места в топ-10 OWASP вам нужно быть очень осторожным, а затем отключить проверку проверки в asp.net.

Во-первых, не отключайте проверку запроса, если это действительно не нужно. У вас должна быть причина, чтобы сделать это. Проверка запроса — это встроенный механизм защиты от XSS-атак.

Во-вторых, всегда выполняйте проверку по белому списку для всех полей ввода, что позволяет проходить только допустимые чартеры .

В некоторых случаях вам нужно будет пропускать такие символы, как «‹» или «>», что потенциально опасно.

Поэтому вам нужно всегда кодировать вывод, если вы отображаете его на странице. Всегда. Это предотвращает выполнение JavaScript (если он был вставлен во входные данные).

Параметризованные запросы должны использоваться вместе с вышеупомянутой проверкой белого списка и кодированием вывода, чтобы предотвратить атаки с внедрением SQL.

Также не выполняйте построение динамических запросов (динамический sql) внутри хранимой процедуры sql.

И убедитесь, что все пользователи БД и хранимые процедуры sql имеют соответствующий уровень доступа к ресурсам БД (наименее возможный подход прав доступа).