分享来自zoomla!逐浪CMS的五种常见的ASP.NET安全缺陷
2012-04-26 20:20
375 查看
分享来自zoomla!逐浪CMS的五种常见的ASP.NET安全缺陷
篡改参数
使用ASP.NET域验证器
盲目信任用户输入是保障Web应用安全的第一敌人。用户输入的主要来源是HTML表单中提交的参数,如果不能严格地验证这些参数的合法性,就有可能危及服务器的安全。
篡改参数之二
避免验证操作的漏洞
然而,仅仅为每个输入域引入验证器还不能防范所有通过修改参数实施的攻击。在执行数值范围检查之时,还要指定正确的数据类型。
也就是说,在使用ASP.NET的范围检查控件时,应当根据输入域要求的数据类型指定适当的Type属性,因为Type的默认值是String。
信息泄漏
让隐藏域更加安全
在ASP.NET应用中,几乎所有HTML页面的__VIEWSTATE隐藏域中都可以找到有关应用的信息。由于__VIEWSTATE是BASE 64编码的,所以常常被忽略,但黑客可以方便地解码BASE 64数据,用不着花什么力气就可以得到__VIEWSTATE提供的详细资料。
SQL注入式攻击
使用SQL参数API
正如前文“篡改参数”部分描述的,攻击者可以在输入域中插入特殊字符,改变SQL查询的本意,欺骗数据库服务器执行恶意的查询。
跨站脚本执行
对外发的数据进行编码
跨站脚本执行(Cross-site scripting)是指将恶意的用户输入嵌入到应答(HTML)页面。例如,下面的ASP.NET页面虽然简单,却包含着一个重大的安全缺陷。
更多精彩内容请阅读:zoomla!逐浪CMS
篡改参数
使用ASP.NET域验证器
盲目信任用户输入是保障Web应用安全的第一敌人。用户输入的主要来源是HTML表单中提交的参数,如果不能严格地验证这些参数的合法性,就有可能危及服务器的安全。
篡改参数之二
避免验证操作的漏洞
然而,仅仅为每个输入域引入验证器还不能防范所有通过修改参数实施的攻击。在执行数值范围检查之时,还要指定正确的数据类型。
也就是说,在使用ASP.NET的范围检查控件时,应当根据输入域要求的数据类型指定适当的Type属性,因为Type的默认值是String。
信息泄漏
让隐藏域更加安全
在ASP.NET应用中,几乎所有HTML页面的__VIEWSTATE隐藏域中都可以找到有关应用的信息。由于__VIEWSTATE是BASE 64编码的,所以常常被忽略,但黑客可以方便地解码BASE 64数据,用不着花什么力气就可以得到__VIEWSTATE提供的详细资料。
SQL注入式攻击
使用SQL参数API
正如前文“篡改参数”部分描述的,攻击者可以在输入域中插入特殊字符,改变SQL查询的本意,欺骗数据库服务器执行恶意的查询。
跨站脚本执行
对外发的数据进行编码
跨站脚本执行(Cross-site scripting)是指将恶意的用户输入嵌入到应答(HTML)页面。例如,下面的ASP.NET页面虽然简单,却包含着一个重大的安全缺陷。
更多精彩内容请阅读:zoomla!逐浪CMS
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 分享来自zoomla!逐浪CMS的三个ASP.NET实用技巧
- 分享来自zoomla!逐浪CMS的ASP.NET学习全过程
- 五种常见的ASP.NET安全缺陷
- 五种常见的ASP.NET应用程序安全缺陷
- 五种常见的ASP.NET应用程序安全缺陷
- 五种常见的ASP.NET安全缺陷
- 五种常见的ASP.NET安全缺陷
- 五种常见的ASP.NET安全缺陷
- 五种常见的ASP.NET安全缺陷
- 五种常见的ASP.NET应用程序安全缺陷
- 常见的ASP.NET五种安全缺陷
- 五种常见的ASP.NET安全缺陷
- 五种常见的ASP.NET安全缺陷
- 五种常见的ASP.NET安全缺陷
- 五种常见的ASP.NET应用程序安全缺陷
- 五种常见的ASP.NET安全缺陷
- 五种常见的ASP.NET安全缺陷
- 五种常见的ASP.NET安全缺陷
- 五种常见的ASP.NET安全缺陷
- 五种常见的ASP.NET安全缺陷