Методи забезпечення безпеки для розробки вебзастосунків в ASP.NET Core

Ескіз
Файли
(361)+VKNU-TS-2026-N1_p496-500.pdf (500.04 KB)
Дата
2026
Автори
Назва журналу
Номер ISSN
Назва тому
Видавець
Хмельницький національний університет
Анотація
В статті представлено методи та ключові аспекти безпекових питань щодо розробки вебзастосунків із використанням технології ASP.NET Core. Загалом даного роду питання розглядаються з різних точок зору, а саме управління доступом та довірою, захисту від ін'єкцій та міжсайтових атак, архітектурних рішень та ізоляції тощо. У сучасних розподілених системах безпека ґрунтується на принципі найменших привілеїв, що забезпечується методом авторизації Claims-Based Authorization, який є науково більш гнучким та точним, ніж традиційна авторизація на основі ролей. Доступ надається не на підставі визначення ролі, а на підставі набору вимог чи тверджень, що дозволяє реалізувати так званий гранульований (деталізований) контроль доступу (Fine-Grained Access Control). У контексті прикладного програмного інтерфейсу, ключ аутентифікації користувача виступає як механізм інкапсуляції довіри. Токен містить криптографічно підписані твердження, що дозволяє застосункам бути без стану. Однак, науковою проблемою тут є відкликання токенів та забезпечення короткого часу життя токенів доступу для мінімізації ризику їх компроментації. Для боротьби із вразливостями дкумент OWASP Top 10 вбудовано у фреймворк через методи безпечного кодування. ASP.NET Core використовує механізми контекстного кодування, наприклад, у Razor Pages для автоматичного контекстного кодування вихідних даних (HTML-кодування). Це є первинною лінією захисту від XSS-атак шляхом зміни інтерпретації даних браузером. Механізм захисту від CSRF-атак базується на використанні синхронізованих токенів, що є криптографічним способом підтвердження, що запит походить із довіреного джерела. Також використовується параметризація запитів через використання об’єктно-реляційного відображення, таких як Entity Framework Core і є реалізацією патерну безпечного доступу до даних, який мінімізує простір атаки для SQL-ін'єкцій, відділяючи команди від даних. З погляду системної архітектури, ASP.NET Core вирішує питання безпеки на рівні конфігурації та розгортання. Система проміжного програмного забезпечення дозволяє централізовано впроваджувати політики безпеки, такі як перенаправлення на HTTPS та управління CORS (Cross-Origin Resource Sharing), що забезпечує агрегацію контролю безпеки на мережевому рівні. Свою роль у забезпеченні безпекових питань відіграє також і управління секретами, оскільки сучасна парадигма вимагає повного відділення секретів ключів, паролів від коду та конфігураційних файлів. ASP.NET Core підтримує інтеграцію зі сховищами секретів, що є реалізацією принципу «не зберігати секрети у коді», а це підвищує безпеку шляхом ізоляції чутливої інформації
The article presents methods and key aspects of security issues related to the development of web applications using ASP.NET Core technology. In general, these issues are considered from different points of view, namely access and trust management, protection against injections and cross-site attacks, architectural solutions and isolation. In modern distributed systems, security is based on the principle of least privilege, which is ensured by the Claims-Based Authorisation method, which is scientifically more flexible and accurate than traditional role-based authorisation. Access is granted not on the basis of role definition, but on the basis of a set of requirements or assertions, which allows for the implementation of so-called fine-grained access control. In the context of an application programming interface, the user authentication key acts as a trust encapsulation mechanism. The token contains cryptographically signed assertions, allowing applications to be stateless. However, the scientific problem here is revoking tokens and ensuring a short lifetime for access tokens to minimise the risk of their compromise. Combating OWASP Top 10 vulnerabilities is built into the framework through secure coding practices. ASP.NET Core uses contextsensitive encoding mechanisms, such as in Razor Pages, to automatically context-encode output (HTML encoding). This is the primary line of defence against XSS attacks by changing how the browser interprets data. The mechanism for protecting against CSRF attacks is based on the use of synchronised tokens, which are a cryptographic way of confirming that a request comes from a trusted source. It also uses request parameterisation through object-relational mapping, such as Entity Framework Core, and implements a secure data access pattern that minimises the attack surface for SQL injections by separating commands from data. From a system architecture perspective, ASP.NET Core addresses security issues at the configuration and deployment level. The middleware system allows for the centralised implementation of security policies such as HTTPS redirection and CORS (Cross-Origin Resource Sharing) management, providing aggregated security control at the network level. Secret management also plays a role in ensuring security, as the modern paradigm requires complete separation of key secrets and passwords from code and configuration files. ASP.NET Core supports integration with Key Vaults (secret storage), which is an implementation of the ‘do not store secrets in code’ principle, and this increases security by isolating sensitive information.
Опис
Ключові слова
ASP.NET Core, безпека, проектування, вебзастосунок, інформаційні технології, інженерія програмного забезпечення, ASP.NET Core, security, information technology, software engineering, software design, web application
Бібліографічний опис
Яшина О. Методи забезпечення безпеки для розробки вебзастосунків в ASP.NET Core // Herald of Khmelnytskyi National University. Technical Sciences. 2026. Vol. 361, No. 1. P. 496-500.
URI
https://elar.khmnu.edu.ua/handle/123456789/20878
Зібрання
Вісник ХНУ. Технічні науки - 2026 рік