[转]写给ASP.NET程序员:网站中的安全问题
2009-03-17 02:30
330 查看
做项目也有一段时间了,在程序中也遇到很多安全方面的问题。也该总结一下了。这个项目是一个 CMS 系统。系统是用 ASP.NET 做的。开发的时候发现微软做了很多安全措施,只是有些新手程序员不知道怎么开启。下面我通过几个方面简单介绍:
1:SQL 注入
2:XSS
3:CSRF
4:文件上传
SQL 注入
引起原因:其实现在很多网站中都存在这种问题。就是程序中直接进行 SQL 语句拼接。可能有些读者不太明白。下面通过一个登录时对用户验证来说明:
验证时的 SQL 语句:
[align=left]return ( Session[ "IsAuthorized" ] != null && (bool)Session[ "IsAuthorized" ] == true );[/align]
注释去掉。在登录成功加入
[align=left]Session[“IsAuthorized”] = true;[/align]
就可以了。
如果网站没有用到上传到服务器的文件浏览的话把 fckeditor—editor—filemanager 中的 browser 目录也删除。
1:SQL 注入
2:XSS
3:CSRF
4:文件上传
SQL 注入
引起原因:其实现在很多网站中都存在这种问题。就是程序中直接进行 SQL 语句拼接。可能有些读者不太明白。下面通过一个登录时对用户验证来说明:
验证时的 SQL 语句:
[align=left]return ( Session[ "IsAuthorized" ] != null && (bool)Session[ "IsAuthorized" ] == true );[/align]
注释去掉。在登录成功加入
[align=left]Session[“IsAuthorized”] = true;[/align]
就可以了。
如果网站没有用到上传到服务器的文件浏览的话把 fckeditor—editor—filemanager 中的 browser 目录也删除。
相关文章推荐
- 写给那些ASP.NET程序员:网站中的安全问题
- 写给ASP.NET程序员:网站中的安全问题
- 写给ASP.NET程序员:网站中的安全问题
- 写给ASP.NET程序员:网站中的安全问题
- 写给那些ASP.NET程序员:网站中的安全问题
- 写给那些ASP.NET程序员:网站中的安全问题
- ASP.NET网站管理工具的【安全】功能无法使用问题
- ASP.NET网站中的安全问题
- ASP.NET网站管理工具的【安全】功能无法使用问题
- IIS网站发布后的安全问题(asp.net,C#)
- ASP.NET网站中的常见安全问题
- ASP.NET网站设计的安全问题【转】
- Win7部署asp.net网站问题---HTTP 错误 500.0 - Internal Server Error 调用 LoadLibraryEx 失败
- win7下安装IIS7.0及部署VS2010 ASP.NET程序网站的相关问题
- ASP.NET 网站地图的安全调整
- ASP.NET安全问题--Froms验证的具体介绍(中篇)
- 解决Asp.net Web网站第一次访问慢的问题
- IIS 中Asp.net网站输入网站名默认页提交问题解决
- 有关asp.net网站管理工具的一个小问题
- Visual Basic .NET 和 Visual C# .NET 程序员需要解决的安全问题(二)