在A(yíng)sp.net開(kāi)如中����,引發(fā)安全問(wèn)題最多的大多來(lái)自于以下三個(gè)方面:
1.上傳
2.跨站
3.注入
上傳的安全問(wèn)題不在本文討論范圍內(nèi)����,這里只討論跨站與注入的問(wèn)題����,而這兩者都是基本可以通過(guò)過(guò)濾來(lái)處理的!把注入放在最后面是因?yàn)?��,SQL注入玩了這么多年,大家應(yīng)當(dāng)有了一定的防范���,只要稍有點(diǎn)注意,能在asp.net上面玩下的注入還是相當(dāng)少的��!注意這以下幾點(diǎn)���。
1.所有的參數(shù)�。如果是int類(lèi)型的,請(qǐng)轉(zhuǎn)換成int再處理! 別拿裝箱與拆箱來(lái)說(shuō)事!估計(jì)現(xiàn)在大家也不會(huì)把sql語(yǔ)句直接在web里面拼接了���,起碼也要用上幾個(gè)類(lèi)���,中間的一些簡(jiǎn)單的邏輯處理�����!類(lèi)型轉(zhuǎn)換還是要涉及到的
2.盡量使用參數(shù)化查詢(xún)���!
3.起碼要注意過(guò)濾單引號(hào)(其實(shí)如果使用參數(shù)化查詢(xún)���,不過(guò)濾也沒(méi)事�,不過(guò)我還是習(xí)慣性過(guò)濾)!
?����。?不要直接把錯(cuò)誤赤裸裸的暴露給用戶(hù)���!這點(diǎn)不僅僅是為了防范注入�����,同時(shí)也是一個(gè)用戶(hù)體驗(yàn)問(wèn)題�����!通過(guò)重寫(xiě)OnError事件,再繼承�����,能很好的處理����!
而相對(duì)于跨站����,防洗耳范起來(lái)就麻煩多了���,過(guò)濾一直是個(gè)很糾結(jié)的東西,過(guò)濾太嚴(yán)了���,影響正常使用�����,沒(méi)過(guò)濾好��,又引發(fā)安全問(wèn)題!我把我剛寫(xiě)的過(guò)濾類(lèi)拿出來(lái)�����,也許其中還有沒(méi)有考慮到的地方,希望大家指點(diǎn),
public static string StringFilters(string input)
{
if (string.IsNullOrEmpty(input))
return input;
/*跨站攻擊過(guò)慮*/
input = input.Replace("&#", "&#");//過(guò)濾&# 攻擊方式javascript:alert('XSS')
input = Regex.Replace(input, @"javascript:", "Javascript:", RegexOptions.IgnoreCase);//過(guò)濾JS 攻擊方式:javascript:alert('XSS');
input = Regex.Replace(input, @"vbscript:", "Vbscript:", RegexOptions.IgnoreCase);//過(guò)濾JS 攻擊方式:vbscript:msgbox('XSS');
input = Regex.Replace(input, @"j *a *v *a *s *c *r *i *p *t:", "Vbscript:", RegexOptions.IgnoreCase);//攻擊方式:java script:alert('XSS');
input = Regex.Replace(input, @"http:///*[sS]*/*//", "<!-- code -->", RegexOptions.IgnoreCase);
input = Regex.Replace(input, @"expression", "expression", RegexOptions.IgnoreCase);
input = Regex.Replace(input, @"<[/u0020]*style[^>]*>", "S:yle", RegexOptions.IgnoreCase);
input = Regex.Replace(input, @"<[^>]*object[^>]*>", "objec&$58", RegexOptions.IgnoreCase);//攻擊方式 <OBJECT TYPE="text/x-scriptlet" DATA="http://www.cnblog.cn"></OBJECT> 注意���,這樣過(guò)濾后將無(wú)法使用FLASH
/*各種事件過(guò)濾*/
input = Regex.Replace(input, @"<[^>]*[/u0020]+on[A-Za-z]{3,20}[/u0020]*=[/u0020]*[^>]*>", "Js Event", RegexOptions.IgnoreCase);//
input = input.Replace("'", "'");//單引號(hào)防止SQL注入
input = Regex.Replace(input, @"script", "Script", RegexOptions.IgnoreCase);//防止腳本攻擊
input = Regex.Replace(input, @"frame", "frame", RegexOptions.IgnoreCase);//防止iframe 掛馬
input = Regex.Replace(input, @"form", "form", RegexOptions.IgnoreCase);//禁止表單提交
input = Regex.Replace(input, @"meta", "meta", RegexOptions.IgnoreCase);//防止用使meta跳轉(zhuǎn)到非法網(wǎng)頁(yè)
return input;
}
補(bǔ)充一下�,過(guò)濾千萬(wàn)不要把字符串過(guò)慮成空����,這樣同樣存在安全問(wèn)題�����,必須過(guò)慮成另外一個(gè)字符串���,比如過(guò)濾你好��,那么用戶(hù)可以構(gòu)建這樣一個(gè)字符“你你好好”,通過(guò)Replace("你好","")之后����,輸出的結(jié)果�����,我不說(shuō)大家也知道�����!
另外,這里是考慮了支持HTML的情況�����,所以沒(méi)有直接過(guò)慮尖括號(hào)���!
