.NET配置文件的10大安全漏洞
在ASP.NET应用程序在生产环境中部署时,需要检查Web.Config文件是否存在以下10个不正确的配置,可能导致安全漏洞:
1、Disabling custom errors
Vulnerable: Secure:
<configuration> <configuration>
<system.web> <system.web>
<custom mode=”Off”> <customErrors mode=”RemoteOnly”>
2、Leaving tracing enabled
Vulnerable: Secure:
<configuration> <configuration>
<system.web> <system.web>
<trace enabled=”true” <trace enabled=”false”
localOnly=”false”> localOnly=”true”>
3、Enabling debugging
Vulnerable: Secure:
<configuration> <configuration>
<system.web> <system.web>
<compilation debug=”true”> <compilation debug=”false”>
4、Making cookies accessible through client-side script
Vulnerable: Secure:
<configuration> <configuration>
<system.web> <system.web>
<httpCookies <httpCookies
httpOnlyCookies=”false”> httpOnlyCookies=”true”>
5、Enabling cookieless session state
Vulnerable: Secure:
<configuration> <configuration>
<system.web> <system.web>
<sessionState <sessionState
cookieless=”UseUri”> cookieless=”UseCookies”>
6、Enabling cookieless authentication
Vulnerable: Secure:
<configuration> <configuration>
<system.web> <system.web>
<authentication mode=”Forms”> <authentication mode=”Forms”>
<forms cookieless=”UseUri”> <forms cookieless=”UseCookies”>
7、Failing to require SSL for authentication cookies
Vulnerable: Secure:
<configuration> <configuration>
<system.web> <system.web>
<authentication mode=”Forms”> <authentication mode=”Forms”>
<forms requireSSL=”false”> <forms requireSSL=”true”>
8、Using sliding expiration
Vulnerable: Secure:
<configuration> <configuration>
<system.web> <system.web>
<authentication mode=”Forms”> <authentication mode=”Forms”>
<forms slidingExpiration=”true”> <forms slidingExpiration=”false”>
9、Using non-unique authentication cookies
Vulnerable: Secure:
<configuration> <configuration>
<system.web> <system.web>
<authentication mode=”Forms”> <authentication mode=”Forms”>
<forms name=”.ASPXAUTH”> <forms name=”{abcd1234…}”
10、Using hard-coded credentials
Vulnerable: Secure:
<configuration> <configuration>
<system.web> <system.web>
<authentication mode=”Forms”> <authentication mode=”Forms”>
<forms> <forms>
<credentials> …
…
</credentials> </forms>
</forms>
转载于:https://www.cnblogs.com/ableid/archive/2010/03/11/1683792.html
.NET配置文件的10大安全漏洞相关推荐
- 10大Web漏洞扫描器
10大Web漏洞扫描器 美国最权威的RSA大会研究显示,Web应用安全已超过所有以前网络层安全(如DDos),逐渐成为最严重.最广泛.危害性最大的安全问题.如华为.RSA.赛门铁克.联想ThinkPa ...
- 10大Web漏洞扫描工具
Web scan tool 推荐10大Web漏洞扫描程序 Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版 ...
- WEB十大安全漏洞(OWASP Top 10)与渗透测试记录
1. 前言 每年 OWASP(开放 Web 应用程序安全项目)都会发布十大安全漏洞.它代表了对 Web 应用程序最关键的安全风险的广泛共识.了解十大WEB漏洞种类并善于在渗透测试中发现漏洞是安全行业人 ...
- 适合软件开发团队的知识管理系统有哪些?10大知识库盘点
知识管理系统并没有一个统一的定义,不同的知识库工具适合的人群也不一致,所以本文将对比以下10大知识库工具(含开源.免费等):1.PingCode:2.Confluence:3.MediaWiki:4. ...
- 数据库10大安全工具集合
数据库10大安全工具集合 摘要: 认识问题,解决问题!既然影响数据库安全的10大因素我们已经了解了,那么保护数据库安全又有哪些妙招呢?如今,威胁数据库安全的因素每天都在发生变化,如此一来也需要我们提出 ...
- 关于不能成为专业软件测试人员的10大理由的一些阐述
<不能成为专业软件测试人员的10大理由>终于在两个夜晚苦战到12点多翻译完了,2,3年不接触英文还真是很生硬,可能大家一看就知道是Chinese English,哈哈!只能请阅者委屈一下了 ...
- ASP.NET应用程序设计的10大技巧
ASP.NET应用程序设计的10大技巧 [ ASP.NET应用程序设计的10大技巧 | 责任编辑: 51欢乐吧 - 关涛 | 2007-09-25 10:38:16 ] 调整字体大小: 大 | 中 | ...
- 排队问题解题思路_高考文科数学是最“拉分”的!6种题型分析与10大解题方法...
我回来啦~~好多天没更了. 最近私信挺多的,很多人跟我说学习毫无章法,总是高投入低产出,大量的时间.精力投入,成绩却不见起色.包括当年我自己上高中的时候,也是这样. 问题其实就是上课听懂了.但是一做题 ...
- 数据库 10 大常见安全问题盘点~
数据库已经成为黑客的主要攻击目标,因为它们存储着大量有价值和敏感的信息. 这些信息包括金融.知识产权以及企业数据等各方面的内容.网络罪犯开始从入侵在线业务服务器和破坏数据库中大量获利,因此,确保数据库 ...
- Redis运行时的10大重要指标
2019独角兽企业重金招聘Python工程师标准>>> Redis运行时的10大重要指标 存活情况 所有指标中最重要的当然是检查redis是否还活着,可以通过命令PING的响应是否是 ...
最新文章
- 这些算法在印度农村医疗中发挥极大作用,未来还将发挥哪些作用?
- 总有些物理现象颠覆你的想象
- php变量与数据类型,php中变量与数据类型讲解
- jsp接收 input文本输入框中,无法正确显示单引号和双引号的问题
- android 九宫格封装,Android 九宫格布局
- Redis-列表(List)基础
- 给button加href
- oracle,如何查看视图结构,获得视图中的字段名称、字段类型、字段长度等。...
- oracle or索引失效,以下Oracle错误意味着什么:无效的列索引
- [转】Python--遍历列表时删除元素的正确做法
- 不要让开源成为贸易战的牺牲品!
- linux安装svn(yum安装)
- numpy的随机抽样
- Windows 禁用U盘的程序,不用注册表方式。
- 浮点数I-EEE规范
- 几万年前,孙悟空的一次删库跑路...
- Unity3d+moba+草丛视野
- MySql的flush用法
- Apache服务器报错信息,端口号等原因
- 匈牙利命名和驼峰命名相互转换java
热门文章
- arm开发板放张图片动起来_Python与Zynq的桥梁,米尔PYNQ开发板来了
- python3语法学习第四天--序列
- spring事务的传播属性和事务隔离级别及配置事务(注解方式)
- mysqld是服务,mysql是客户端
- 数论——同余和费马小定理
- 计算机组成原理——第五章
- 小D课堂 - 零基础入门SpringBoot2.X到实战_第4节 Springboot2.0单元测试进阶实战和自定义异常处理_20、SpringBoot2.x配置全局异常实战...
- 阶段2 JavaWeb+黑马旅游网_15-Maven基础_第2节 maven的安装和仓库种类_04maven的安装...
- hihocoder-Week195-奖券兑换
- JForum3 学习笔记1