| Bölmə | Məzmun |
|---|---|
| OWASP Top 10 | Veb təhlükəsizliyin ən vacib zəifliyi |
| SQL Injection | .NET-də məlumat bazası təhlükəsizliyi |
| XSS | İstifadəçi interfeysinin qorunması |
| CSRF | Sessiya saxtakarlığının qarşısı |
| Race Condition | Paralel işləmədə təhlükəsizlik |
| ASP.NET Core Təhlükəsizliyi | İnteqrasiya edilmiş müdafiə qatları |
| Pentest Alətləri | Kod təhlükəsizlik test alətləri |
| SEI CERT & OWASP | Təhlükəsiz kodlama standartları |
| Təlim Tövsiyələri | Rəsmi sertifikatlı kurs bağlantıları |
OWASP, bütün veb tətbiq tərtibatçıları üçün qlobal istinad nöqtəsidir. .NET tətbiqlərində də aşağıdakı zəifliklər geniş yayılıb:
Broken Access Control
Cryptographic Failures
Injection
Insecure Design
Security Misconfiguration
Outdated Components
Authentication Failures
Data Integrity Failures
Logging & Monitoring Issues
SSRF (Server‑Side Request Forgery)
Daha dərindən öyrənmək üçün:
🔗 Securing .NET Web Applications Təlimi
Yanlış yanaşma:
csharp
var user = context.Users
.FromSqlRaw("SELECT * FROM Users WHERE Email = '" + email + "'")
.FirstOrDefault();
Doğru yanaşma:
csharp
var user = context.Users
.FirstOrDefault(u => u.Email == email);
✔ ORM (Entity Framework) + parametrik sorgular → təhlükəsiz kod.
İstifadəçidən gələn HTML birbaşa göstərilərsə, təhlükə yaranır:
html
@Html.Raw(ViewBag.Message)
✔ ASP.NET Razor avtomatik HTML escape edir.
✔ Yaxşı təcrübələr:
CSP (Content‑Security Policy)
AntiXSS NuGet paketləri
Input/Output səviyyəsində filtrasiya
ASP.NET Core-da CSRF qoruması daxildir:
csharp
[ValidateAntiForgeryToken]
public IActionResult Update(User user) { … }
Form daxilində:
html
@Html.AntiForgeryToken()
🔗 Öyrənmək üçün:
Introduction to .NET Core for Web Services
Eyni anda bir neçə proses resursa daxil olursa, konflikt yaranır. Məsələn, paralel kupon istifadələri.
✔ Həllər:
lock
SemaphoreSlim
async/await blokları
| Qat | Funksiya |
|---|---|
| Authentication | Kimliyin təsdiqi |
| Authorization | İcazə nəzarəti |
| Middleware | HTTPS, CORS, JWT filtrasyonu |
| Identity Framework | Şifrə və sessiya idarəetməsi |
| Data Protection | Token və açar idarəetməsi |
csharp
app.UseHttpsRedirection();
app.UseAuthentication();
app.UseAuthorization();
🔗 Təlim üçün:
Developing ASP.NET MVC Web Applications
| Alət | İstifadə Məqsədi |
|---|---|
| ZAP | OWASP təhlükə skaneri |
| Burp Suite | Sorğu analiz və payload testi |
| Nikto | Veb server zəiflik skaneri |
| Nmap | Port və servis aşkarı |
| DotNet Security Analyzer | .NET kod analiz və refaktoring |
SEI CERT Tövsiyələri:
Resource idarəetməsi (using/Dispose)
Exception etibarlılığı
Static typing (dinamikdən qaçın)
Input validasiyası
OWASP Tövsiyələri:
HTTPS istifadəsini məcbur etmək
Server‑side doğrulama
Hata mesajlarını məhdudlaşdırmaq
İstifadəçi məlumatlarını maskalamaq
Əgər .NET tətbiq təhlükəsizliyini dərinlə öyrənmək istəyirsinizsə:
Azərbaycan .NET tərtibatçıları üçün bu təhlükəsizlik bələdçisi, layihələrinizdə güclü, davamlı və etibarlı kodlamağı öyrənməyiniz üçün ideal başlanğıcdır!