日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
寫給ASP.NET程序員:網(wǎng)站中的安全問題

做項目也有一段時間了,在程序中也遇到很多安全方面的問題。也該總結(jié)一下了。這個項目是一個CMS系統(tǒng)。系統(tǒng)是用ASP.NET做的。開發(fā)的時候發(fā)現(xiàn)微軟做了很多安全措施,只是有些新手程序員不知道怎么開啟。下面我通過幾個方面簡單介紹:

目前創(chuàng)新互聯(lián)已為千余家的企業(yè)提供了網(wǎng)站建設(shè)、域名、虛擬空間、網(wǎng)站托管、企業(yè)網(wǎng)站設(shè)計、本溪網(wǎng)站維護等服務(wù),公司將堅持客戶導向、應(yīng)用為本的策略,正道將秉承"和諧、參與、激情"的文化,與客戶和合作伙伴齊心協(xié)力一起成長,共同發(fā)展。

1:SQL 注入

2:XSS

3:CSRF

4:文件上傳

SQL 注入

引起原因:

其實現(xiàn)在很多網(wǎng)站中都存在這種問題。就是程序中直接進行SQL語句拼接??赡苡行┳x者不太明白。下面通過一個登錄時對用戶驗證來說明:

驗證時的sql語句:

select * from where user='"+txtUsername.Text+"' and pwd='"+txtPwd.Text+"'

這是一段從數(shù)據(jù)庫中查詢用戶,對用戶名,密碼驗證。

看上去好象沒有什么問題,但是實際這里面淺藏著問題,用戶名:admin   密碼:admin

select * from where user='admin' and pwd='admin'

如果用戶和密碼正確就可通驗證。如果我用戶名:asdf' or 1=1 -- 密碼:隨意輸入.

我們再來看語句:

select * from where user=‘a(chǎn)sdf' or 1=1 -- and pwd=''

執(zhí)行后看到什么?是不是所有記錄,如果程序只是簡單判斷返回的條數(shù),這種方法就可以通驗證。

如果執(zhí)行語句是SA用戶,再通過xp_cmdshell添加系統(tǒng)管理員,那么這個服務(wù)器就被拿下了。
解決方法:

a. 這個問題主要是由于傳入特殊字符引起的我們可以在對輸入的用戶名密碼進入過濾特殊字符處理。

b. 使用存儲過程通過傳入?yún)?shù)的方法可解決此類問題(注意:在存儲過程中不可使用拼接實現(xiàn),不然和沒用存儲過和是一樣的)。

XSS(跨站腳本攻擊)

引起原因:

這個也有時被人們稱作HTML注入,和sql注入原理相似,也是沒有特殊字符進行處理。是用戶可以提交HTML標簽對網(wǎng)站進行重新的構(gòu)造。其實在默認的情況下在asp.net網(wǎng)頁中是開啟validateRequest屬性的,所有HTML標簽后會.NET都會驗證:

但這樣直接把異常拋給用戶,多少用戶體驗就不好。

解決方法:

a. 通過在 Page 指令或 配置節(jié)中設(shè)置 validateRequest=false 禁用請求驗證,然后我們對用戶提交的數(shù)據(jù)進行HtmlEncode,編碼后的就不會出現(xiàn)這種問題了(ASP.NET 中編碼方法:Server.HtmlEncode(string))。

b. 第二種是過濾特殊字符,這種方法就不太提倡了,如果用戶想輸入小于號(<)也會被過濾掉.

CSRF(跨站點請求偽造)

引起原因:個人認為csrf在Ajax盛行的今天來說,倒是方便了,因為它可以在你不知道的情況用你的通過驗證用戶進行操作,所以也被稱為瀏覽器劫持。如果你已通過某個網(wǎng)站的驗證那么你將以你的角色對網(wǎng)站進行操作,比如你是管理員可以添加其它的用戶到管理組,但是如果有人構(gòu)造了添加管理員的鏈接被管理員點后也會執(zhí)行相應(yīng)操作.

解決方法:

修改信息時添加驗證碼或添加Session令牌(ASP.NET中已經(jīng)提供一個自動防范的方法,就是用頁面屬性ViewStateUserKey.在Page_Init方法中設(shè)置其值:this.ViewStateUserKey=Session.SessionID)。

文件上傳

引起原因:

如果你的網(wǎng)站使用的是在線編輯器,如FCKEditor,eWeb等等,如果沒有處理好文件上傳,那么上線后網(wǎng)站會很快的被篡改。

解決方法:

在用戶登錄時加入是否可上傳文件的Session標志。其實Fckeditor已經(jīng)寫好了。直接把驗證函數(shù)CheckAuthentication()中的注釋段中

return ( Session[ "IsAuthorized" ] != null && (bool)Session[ "IsAuthorized" ] == true );

注釋去掉。在登錄成功加入

Session[“IsAuthorized”] = true;

就可以了。

如果網(wǎng)站沒有用到上傳到服務(wù)器的文件瀏覽的話把fckeditor"editor"filemanager中的browser目錄也刪除。


網(wǎng)頁標題:寫給ASP.NET程序員:網(wǎng)站中的安全問題
網(wǎng)站地址:http://www.5511xx.com/article/djdpppo.html