asp.net网站安全常见问题与防范
1:SQL 注入
2:XSS
3:CSRF
4:文件上传
1:SQL 注入
引起原因:
其实现在很多网站中都存在这种问题。就是程序中直接进行SQL语句拼接。可能有些读者不太明白。下面通过一个登录时对用户验证来说明:
code:
验证时的sql语句: select * from where user='"+txtUsername.Text+"' and pwd='"+txtPwd.Text+"'
这是一段从数据库中查询用户,对用户名,密码验证。
看上去好象没有什么问题,但是实际这里面浅藏着问题,用户名:admin 密码: admin,
select * from where user='admin' and pwd='admin'
如果用户和密码正确就可通验证。如果我用户名:asdf' or 1=1 -- 密码:随意输入.
我们再来看语句:
select * from where user=‘asdf' or 1=1 -- and pwd=''
执行后看到什么?是不是所有记录,如果程序只是简单判断返回的条数,这种方法就可以通验证。
如果执行语句是SA用户,再通过xp_cmdshell添加系统管理员,那么这个服务器就被拿下了。
解决方法:
(1):这个问题主要是由于传入特殊字符引起的我们可以在对输入的用户名密码进入过滤特殊字符处理。
(2):使用存储过程通过传入参数的方法可解决此类问题(注意:在存储过程中不可使用拼接实现,不然和没用存储过和是一样的)。
2:XSS(跨站脚本攻击)
引起原因:
这个也有时被人们称作HTML注入,和sql注入原理相似,也是没有特殊字符进行处理。是用户可以提交HTML标签对网站进行重新的构造。其实在默认的情况下在asp.net网页中是开启validateRequest属性的,所有HTML标签后会.NET都会验证:
但这样直接把异常抛给用户,多少用户体验就不好。
解决方法:
(1):通过在 Page 指令或 配置节中设置 validateRequest=false 禁用请求验证,然后我们对用户提交的数据进行HtmlEncode,编码后的就不会出现这种问题了(ASP.NET 中编码方法:Server.HtmlEncode(string))。
(2):第二种是过滤特殊字符,这种方法就不太提倡了,如果用户想输入小于号(<)也会被过滤掉.
3:CSRF(跨站点请求伪造)
引起原因:个人认为csrf在Ajax盛行的今天来说,倒是方便了,因为它可以在你不知道的情况用你的通过验证用户进行操作,所以也被称为浏览器劫持。如果你已通过某个网站的验证那么你将以你的角色对网站进行操作,比如你是管理员可以添加其它的用户到管理组,但是如果有人构造了添加管理员的链接被管理员点后也会执行相应操作.具体原因可参考lake2写的文章http://blog.csdn.net/lake2/archive/2008/04/02/2245754.aspx
解决方法:
在lake2的文章中也提出了。就是修改信息时添加验证码。或添加Session令牌(ASP.NET中已经提供一个自动防范的方法,就是用页面属性ViewStateUserKey.在Page_Init方法中设置其值。this.ViewStateUserKey=Session.SessionID)。
4:文件上传
引起原因:
如果你的网站使用的是在线编辑器,如FCKEditor,eWeb等等,如果没有处理好文件上传,那么上线后网站会很快的被篡改。
职业规划网 网购从这里开始 ( 物美价廉还等什么?!!! )
2012夏装新款薄纱拼接性感包臀显瘦party宴会礼服连衣裙子女配胸
2012夏装新款韩版时尚雪纺皇冠ZUMA正品女装小衫短上衣
2条包邮 春夏 韩版 糖果色运动休闲松紧腰大码短裤 沙滩裤 热裤
简约字母韩版百搭露肩小性感随意范儿中长款长袖T恤
春装 新款 女装豹纹丝绒百搭裙包臀裙打底裙迷你阔摆裙短裙半
秋水伊人2012新款夏装连衣裙122102023专柜正品代购女裙子夏季新
秋水伊人2012新款夏装连衣裙122102017专柜正品代购女裙子送礼品
2012夏季新款大码女装裤夏女七九分弹力韩版潮显瘦打底裤包邮薄款
春装2012新款 蕴熙韩版女装 修身款打底衫 女式圆领长袖T恤 包邮
asp.net网站安全常见问题与防范相关推荐
- 预编译 ASP.NET 网站以进行部署
预编译 ASP.NET 网站以进行部署和更新 打开一个命令窗口并定位到包含 .NET Framework 的文件夹. .NET Framework 将安装在以下位置. %windir%\Microso ...
- ASP.NET 网站预编译概述
默认情况下,在用户首次请求资源(如网站的一个页)时,将动态编译 ASP.NET 网页和代码文件.第一次编译页和代码文件之后,会缓存编译后的资源,这样将大大提高随后对同一页提出的请求的效率. ASP.N ...
- Asp.net网站的自动部署-sqlserver数据库的自动部署
Asp.net网站的自动部署 2005-09-28 这段时间要解决的问题是asp.net网站的自动部署,主要功能是在安装的时候实现数据库的部署和基本数据的添加,asp.net网站的部署(多个虚拟目录) ...
- 解决ASP.NET网站发布问题
解决ASP.NET网站发布问题 参考文章: (1)解决ASP.NET网站发布问题 (2)https://www.cnblogs.com/limusic/p/3378023.html 备忘一下.
- 由“ASP.NET网站限制访问频率”想到的两点问题(转)
转自:http://www.cnblogs.com/wangwei/archive/2009/09/19/1570242.html "ASP.NET网站限制访问频率"的作者遇到了两 ...
- 实现 ASP.NET 网站地图提供者
ASP.NET 网站导航提供若干 Web 服务器控件用于 Web 页面中导航结构的显示:SiteMapPath,TreeView,和 Menu 控件.这些 Web 服务器控件都使用 ASP.NET 默 ...
- vs2005不能找到ASP.NET网站之郁闷
今天下午真是郁闷呀! 打开vs2005之后,想新建一个 "ASP.NET网站",但是怎么也没找到网站模版,我选择的是C#语言, 后来发现语言里面有两个Visual C#选项呀,要选 ...
- VS 2012 如何发布 ASP.NET 网站到本地IIS
VS2012 与 VS 2010 不同的地方是在发布网站的时候VS2012的界面会让人有种摸不着头脑的感觉. 下面是如何将ASP.NET 网站发布到本地IIS上的步骤. 第一步,右键解决方案管理器中的 ...
- iis布置asp.net网站——服务应用程序不可用
本例环境:Windows XP SP3,iis 5.1,Visual Studio 2008,.NET 1.x,.NET 2.x,.NET 3.x,.NET 4.x 有时我们在做一个asp.net网站 ...
最新文章
- GNT格式转换为PNG格式
- 科研人必备的学术导航,不看后悔!
- java中单例设计模式登记式单例类_java23种设计模式-创建型模式之单例模式
- 【Elasticsearch】es 报错 no such index index_not_found_exception
- 谷歌LaMDA|工业级端到端预训练对话模型
- 《Java开发实战经典》 —— 视频列表
- UEditor 编辑器的下载与安装
- 【量化课堂】风险模型
- 跨界打劫!中医保健店用一招免费洗车,快速引流进店,月赚20万
- JNCIS-SP学习指南卷1 第一章:协议无关的路由
- 使用CefSharp开发一个12306“安心刷票弹窗通知”工具
- excel组合汇总_Excel汇总20150302
- 什么是VOIP和SIP?
- GD32W515系列Wi-Fi MCU资料
- 软件测试周刊(第13期):质量是一种认知
- 刘汝佳 例题7-2 最大乘
- 个人对专注力的一点看法
- JavaScript字符串操作,把短线(-)命名格式改变为驼峰命名
- 世界名表齐聚进博会 意大利老牌FRW辐轮王代表自行车行业参展
- LRU缓存淘汰算法优化
热门文章
- java捕获定时器抛出的异常_详细了解Java中定时器Timer的使用及缺陷分析
- sleep函数_MySQL中的sleep函数介绍
- linux命令查看几位,Linux每周几个命令(一)--查找篇
- mysql能安装的版本下载失败_mysql 安装失败 每次都安装失败 每个版本都失败
- python聚类分析如何确定分类个数_Python数据挖掘—聚类—KMeans划分法
- Ansible简单介绍及安装部署详解
- Win2008 r2 iis7/iis7.5系统下HTTP重定向(301重定向)图文方法
- leetcode 378. Kth Smallest Element in a Sorted Matrix
- 用C#二次封装虹软arcface
- Python 09--多线程、进程