在ASP.NET中防止注入攻击
热 ★★★★
在ASP.NET中防止注入攻击 作者:闵涛 文章来源:闵涛的学习笔记 点击数:628 更新时间:2009/4/23 10:34:58
目的: 对输入的字串长度,范围,格式和类型进行约束.
在开发ASP.NET程序时使用请求验证防止注入攻击.
使用ASP.NET验证控件进行输入验证.
对不安全的输出编码.
使用命令参数集模式防止注入攻击.
防止错误的详细信息被返回到客户端. IP 地址等. SQL 注入(SQL injection). 如果你使用用户的输入值来动态构造SQL语句,那么数据库可能执行攻击性的有害SQL语句. 跨站脚本(Cross-site scripting). 跨站脚本攻击利用网页验证漏洞注入客户端脚本.接下来这些代码被发送到受信任的客户端电脑 上并被浏览器解释执行.因为这些代码来自受信任的站点,所以浏览器无法得知这些代码是有害的. 未授权的文件访问(Unauthorized file access). 如果你的代码从调用者那里接受输入,恶意用户可以看到你对文件的操作过程从而访问那些受保护的文件或者使用你的代码注入非法数据. 注意 : 注入攻击可通过使用HTTP或HTTPS Secure Socket Layer(SSL) 连接. 传输加密技术不能用来防御攻击. 约束. 验证是否输入的是正确的类型,字符长度,格式和范围.可以应用ASP.NET验证控件来约束服务器控件输入.约束其它来源的输入可以使用正则表达式和自定义的验证规则. 拒绝. 检测已知的有害数据输入并拒绝. 过滤. 有时候你会希望过滤掉用户输入中那些有安全隐患的那些部分.例如,你的程序允许自由格式的输入,比如备注字段,你会允许特定的安全HTML标记象<b>,<i>及其它的HTML标记. 步骤提要 第一步.使用ASP.NET请求验证.
第二步.约束输入.
第三步.对不安全的输出进行编码.
第四步.对SQL查询语句使用命令参数.
第五步.验证ASP.NET的出错信息没有泄漏至客户端. 第一步.使用ASP.NET请求验证. <pages> 元素中加入validateRequest="false" 或在单独的页面的@Pages 元素里面设置ValidateRequest = "false" 来禁用此项功能. 确定在Machine.config文件中请求验证功能被打开. 测试ASP.NET请求验证 txtString 中的脚本被执行并被客户端的浏览器处理.ValidateRequest = "true" 或者移除ValidateRequest 页面属性,ASP.NET请求验证会拒绝脚本输入并抛出一个象下面这样的错误信息. 注意 不要仅仅依赖请求验证功能,而只是把它作为自定验证的辅导手段.
136
C语言系列 ]NET 中C#的switch语句的语法 [系统软件 ]托拽Explore中的文件到VB.net的窗口 系统软件 ]Boost库在XP+Visual C++.net中的安装 [常用软件 ]新配色面板:Paint.Net3.0RC1官方下载 常用软件 ]用内建的“Net Meeting”聊天 [VB.NET程序 ]Henry的VB.NET之旅(三)—共享成员 VB.NET程序 ]Henry的VB.NET之旅(二)—构造与析构 [VB.NET程序 ]Henry的VB.NET之旅(一)—失踪的窗体 VB.NET程序 ]在托盘上显示Balloon Tooltip(VB.NET) [VB.NET程序 ]Henry手记-VB.NET中动态加载Treeview节点(二) 教程录入:mintao 责任编辑:mintao 上一篇教程: ASP.NET程序中实现校验码图像生成 下一篇教程: ASP.NET页面中标题单点解决方案 【字体:小 大 】【发表评论 】【加入收藏 】【告诉好友 】【打印此文 】【关闭窗口 】
网友评论: (只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
同类栏目
赞助链接
500 - 内部服务器错误。
500 - 内部服务器错误。
您查找的资源存在问题,因而无法显示。
<%@ Language="C#" ValidateRequest="false" %>
}
注:本站部分文章源于互联网,版权归原作者所有!如有侵权,请原作者与本站联系,本站将立即删除! 本站文章除特别注明外均可转载,但需注明出处! [MinTao学以致用网] 
