web十大安全隐患及对策

A1 - Cross Site Scripting (XSS) 1.在页面上对文本输入框，下拉列表的值，中输入的一些敏感字符进行转换（如:< > “ ‘等）。 2.在Global.asax中Application_BeginRequest事件中进一步对对一些敏感字符进行转换和过滤 A2 - Injection Flaws 1. 参见A1. 2. 不要直接使用拼接SQL. 用参数式样的SQL或者存储过程，然后对参数设值。 A3 - Malicious File Execution 1. 禁止上传exe,dll，js,vbs之类的可执行文件 2. 设置防火墙和杀毒软件。 3. IIS执行Asp.net用户，降低其可以执行文件的权限。 A4 - Insecure Direct Object Reference 在访问数据的时候都在SQL的参数中加上访问人工号，并根据工号算出期权限，限制其访问的数据。 A5 - Cross Site Request Forgery (CSRF) 1. 生成随机名称的Hidden和随机的Value,然后在客户端传回的时候进行对称加密验证。或者用.net特有的ViewState，用来做类似的对称加密验证。 2. 在Post前用javascript对敏感数据（比如密码）进行加密，再提交。 3. 减少Get传递信息。 A6 - Information Leakage and Improper Error Handling 1. 在用户页面只出简要错误提示，避免具体报错信息，只在server日志中记录。 A7 - Broken Authentication and Session Management 1. 用SSL链接 2. 在Seesion中加入IP地址，每次进行验证。 A8 - Insecure Cryptographic Storage 1. 使用更加安全的加密算法AES, RSA和SHA-256。 2. 程序里不用明码写密钥。 A9 - Insecure Communications 在IIS中设置启用SSL链接，以提高安全性 A10 - Failure to Restrict URL Access .net自带的把*.cs，*.config等一些重要文件不能下载。在iis中设置把目录中一些重要的文件（比如头文件）设置成不能下载。 参考http://www.owasp.org/index.php/Top_10_2007