日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
檢測常見ASP.NET配置安全漏洞

Troy Hunt文章的分析數(shù)據(jù)來自他所開發(fā)的一個簡易網(wǎng)站掃瞄服務(wù)--ASafaWeb, Automated Security Analyser for ASP.NET Websites。使用者只要提供Internet上公開ASP.NET網(wǎng)站的URL,ASafaWeb會發(fā)出幾個Request,藉此檢查網(wǎng)站是否存在一些常見的安全漏洞。

成都網(wǎng)站建設(shè)哪家好,找創(chuàng)新互聯(lián)!專注于網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)公司、微信開發(fā)、微信小程序、集團(tuán)企業(yè)網(wǎng)站設(shè)計等服務(wù)項目。核心團(tuán)隊均擁有互聯(lián)網(wǎng)行業(yè)多年經(jīng)驗,服務(wù)眾多知名企業(yè)客戶;涵蓋的客戶類型包括:攪拌罐車等眾多領(lǐng)域,積累了大量豐富的經(jīng)驗,同時也獲得了客戶的一致贊揚(yáng)!

由今年1至3月掃描過的網(wǎng)站記錄,排除掉ASafaWeb測試網(wǎng)站及非ASP.NET網(wǎng)站后共有7,184份檢測結(jié)果,Hunt做出簡單的統(tǒng)計。雖然我覺得這份結(jié)果由于是使用者主動提供網(wǎng)站進(jìn)行檢測,甚至無法排除用戶會刻意制造問題情境考驗ASafaWeb的檢查效果,因此數(shù)據(jù)高低未必能精確反應(yīng)實際情況,但還是很有參考價值,值得我們關(guān)心一下ASP.NET有哪些常見的配置漏洞,確定自己都了解并檢查手邊網(wǎng)站有無類似狀況,絕對是件好事。以下是Hunt列出的常見ASP.NET配置安全漏洞:

  1. 未隱藏錯誤訊息 
    開發(fā)人員常會將方便排錯,但正式上線時卻忘了移除,導(dǎo)致一旦程序出錯,相關(guān)程序代碼細(xì)節(jié)甚至程序片段就赤裸裸地展示出來。黑客可能由其中找到相關(guān)的文件位置、數(shù)據(jù)庫信息、組件版本... 等信息,提供入侵的指引。
  2. 關(guān)閉Request Validation 
    依Hunt的統(tǒng)計,近30%的網(wǎng)站豪邁地關(guān)閉了全站的Request驗證。若真有需要,針對頁面關(guān)閉就好,至少傷害面變小,但如果心有余力,避開此限制保持后門緊閉還是上策。
  3. 未更新Windows/IIS 
    去年底被揭露的HTTP POST Hash DoS漏洞,攻擊者用簡單的Request就能讓網(wǎng)站忙到死去活來,終至服務(wù)癱瘓。微軟已在2月發(fā)布補(bǔ)定,但是似乎還有50%的網(wǎng)站未完成更新。
  4. ELMAH存取未設(shè)限 
    關(guān)于ELMAH存取設(shè)定的風(fēng)險之前也有文章 《大叔手記(18):利用Elmah和Google體驗一把入侵的快感》提過,稍有不慎,程序里的秘密就會大放送,十分危險,甚至黑客還可能藉此偽造ASP.NET Session冒充身份,挺恐怖的。
  5. 未關(guān)閉Trace 
    雖然比例不高,但通過trace.axd黑客還是能搜集到很多重要情報,上線到正式環(huán)境時記得關(guān)閉。

新聞名稱:檢測常見ASP.NET配置安全漏洞
文章鏈接:http://www.5511xx.com/article/ccooseg.html