在ASP.NET应用程序在生产环境中部署时,需要检查Web.Config文件是否存在以下10个不正确的配置,可能导致安全漏洞:

1、Disabling custom errors

Vulnerable:                               Secure:

<configuration>                          <configuration>

<system.web>                           <system.web>

<custom mode=”Off”>                      <customErrors mode=”RemoteOnly”>

2、Leaving tracing enabled

Vulnerable:                               Secure:

<configuration>                          <configuration>

<system.web>                                   <system.web>

<trace enabled=”true”                 <trace enabled=”false”

localOnly=”false”>                      localOnly=”true”>

3、Enabling debugging

Vulnerable:                               Secure:

<configuration>                          <configuration>

<system.web>                                   <system.web>

<compilation debug=”true”>        <compilation debug=”false”>

4、Making cookies accessible through client-side script

Vulnerable:                               Secure:

<configuration>                          <configuration>

<system.web>                           <system.web>

<httpCookies                              <httpCookies

httpOnlyCookies=”false”>           httpOnlyCookies=”true”>

5、Enabling cookieless session state

Vulnerable:                               Secure:

<configuration>                          <configuration>

<system.web>                                   <system.web>

<sessionState                              <sessionState

cookieless=”UseUri”>                 cookieless=”UseCookies”>

6、Enabling cookieless authentication

Vulnerable:                                      Secure:

<configuration>                                 <configuration>

<system.web>                                  <system.web>

<authentication mode=”Forms”>         <authentication mode=”Forms”>

<forms cookieless=”UseUri”>             <forms cookieless=”UseCookies”>

7、Failing to require SSL for authentication cookies

Vulnerable:                                      Secure:

<configuration>                                 <configuration>

<system.web>                                  <system.web>

<authentication mode=”Forms”>         <authentication mode=”Forms”>

<forms requireSSL=”false”>               <forms requireSSL=”true”>

8、Using sliding expiration

Vulnerable:                                      Secure:

<configuration>                                 <configuration>

<system.web>                                  <system.web>

<authentication mode=”Forms”>         <authentication mode=”Forms”>

<forms slidingExpiration=”true”>        <forms slidingExpiration=”false”>

9、Using non-unique authentication cookies

Vulnerable:                                      Secure:

<configuration>                                 <configuration>

<system.web>                                  <system.web>

<authentication mode=”Forms”>         <authentication mode=”Forms”>

<forms name=”.ASPXAUTH”>           <forms name=”{abcd1234…}”

10、Using hard-coded credentials

Vulnerable:                                      Secure:

<configuration>                                 <configuration>

<system.web>                                  <system.web>

<authentication mode=”Forms”>         <authentication mode=”Forms”>

<forms>                                                  <forms>

<credentials>                                           …

</credentials>                                   </forms>

</forms>

转载于:https://www.cnblogs.com/ableid/archive/2010/03/11/1683792.html

.NET配置文件的10大安全漏洞相关推荐

  1. 10大Web漏洞扫描器

    10大Web漏洞扫描器 美国最权威的RSA大会研究显示,Web应用安全已超过所有以前网络层安全(如DDos),逐渐成为最严重.最广泛.危害性最大的安全问题.如华为.RSA.赛门铁克.联想ThinkPa ...

  2. 10大Web漏洞扫描工具

    Web scan tool 推荐10大Web漏洞扫描程序 Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版 ...

  3. WEB十大安全漏洞(OWASP Top 10)与渗透测试记录

    1. 前言 每年 OWASP(开放 Web 应用程序安全项目)都会发布十大安全漏洞.它代表了对 Web 应用程序最关键的安全风险的广泛共识.了解十大WEB漏洞种类并善于在渗透测试中发现漏洞是安全行业人 ...

  4. 适合软件开发团队的知识管理系统有哪些?10大知识库盘点

    知识管理系统并没有一个统一的定义,不同的知识库工具适合的人群也不一致,所以本文将对比以下10大知识库工具(含开源.免费等):1.PingCode:2.Confluence:3.MediaWiki:4. ...

  5. 数据库10大安全工具集合

    数据库10大安全工具集合 摘要: 认识问题,解决问题!既然影响数据库安全的10大因素我们已经了解了,那么保护数据库安全又有哪些妙招呢?如今,威胁数据库安全的因素每天都在发生变化,如此一来也需要我们提出 ...

  6. 关于不能成为专业软件测试人员的10大理由的一些阐述

    <不能成为专业软件测试人员的10大理由>终于在两个夜晚苦战到12点多翻译完了,2,3年不接触英文还真是很生硬,可能大家一看就知道是Chinese English,哈哈!只能请阅者委屈一下了 ...

  7. ASP.NET应用程序设计的10大技巧

    ASP.NET应用程序设计的10大技巧 [ ASP.NET应用程序设计的10大技巧 | 责任编辑: 51欢乐吧 - 关涛 | 2007-09-25 10:38:16 ] 调整字体大小: 大 | 中 | ...

  8. 排队问题解题思路_高考文科数学是最“拉分”的!6种题型分析与10大解题方法...

    我回来啦~~好多天没更了. 最近私信挺多的,很多人跟我说学习毫无章法,总是高投入低产出,大量的时间.精力投入,成绩却不见起色.包括当年我自己上高中的时候,也是这样. 问题其实就是上课听懂了.但是一做题 ...

  9. 数据库 10 大常见安全问题盘点~

    数据库已经成为黑客的主要攻击目标,因为它们存储着大量有价值和敏感的信息. 这些信息包括金融.知识产权以及企业数据等各方面的内容.网络罪犯开始从入侵在线业务服务器和破坏数据库中大量获利,因此,确保数据库 ...

  10. Redis运行时的10大重要指标

    2019独角兽企业重金招聘Python工程师标准>>> Redis运行时的10大重要指标 存活情况 所有指标中最重要的当然是检查redis是否还活着,可以通过命令PING的响应是否是 ...

最新文章

  1. 这些算法在印度农村医疗中发挥极大作用,未来还将发挥哪些作用?
  2. 总有些物理现象颠覆你的想象
  3. php变量与数据类型,php中变量与数据类型讲解
  4. jsp接收 input文本输入框中,无法正确显示单引号和双引号的问题
  5. android 九宫格封装,Android 九宫格布局
  6. Redis-列表(List)基础
  7. 给button加href
  8. oracle,如何查看视图结构,获得视图中的字段名称、字段类型、字段长度等。...
  9. oracle or索引失效,以下Oracle错误意味着什么:无效的列索引
  10. [转】Python--遍历列表时删除元素的正确做法
  11. 不要让开源成为贸易战的牺牲品!
  12. linux安装svn(yum安装)
  13. numpy的随机抽样
  14. Windows 禁用U盘的程序,不用注册表方式。
  15. 浮点数I-EEE规范
  16. 几万年前,孙悟空的一次删库跑路...
  17. Unity3d+moba+草丛视野
  18. MySql的flush用法
  19. Apache服务器报错信息,端口号等原因
  20. 匈牙利命名和驼峰命名相互转换java

热门文章

  1. arm开发板放张图片动起来_Python与Zynq的桥梁,米尔PYNQ开发板来了
  2. python3语法学习第四天--序列
  3. spring事务的传播属性和事务隔离级别及配置事务(注解方式)
  4. mysqld是服务,mysql是客户端
  5. 数论——同余和费马小定理
  6. 计算机组成原理——第五章
  7. 小D课堂 - 零基础入门SpringBoot2.X到实战_第4节 Springboot2.0单元测试进阶实战和自定义异常处理_20、SpringBoot2.x配置全局异常实战...
  8. 阶段2 JavaWeb+黑马旅游网_15-Maven基础_第2节 maven的安装和仓库种类_04maven的安装...
  9. hihocoder-Week195-奖券兑换
  10. JForum3 学习笔记1