asp.net網(wǎng)站安全從小做起與防范小結(jié)

2024-07-10 12:39:46

字體：大中小

供稿：網(wǎng)友

以下都以ASP.NET開發(fā)網(wǎng)站為例。

1、sql注入漏洞。

解決辦法：使用存儲過程，參數(shù)不要用字符串拼接。簡單改進(jìn)辦法：使用SqlHelper和OledbHelper

2、跨站腳本漏洞

解決辦法：“默認(rèn)禁止，顯式允許”的策略。具體參考：從客戶端檢測到有潛在危險的Request.Form值，禁止提交html標(biāo)記（<>等被轉(zhuǎn)義成<）

3、上傳漏洞

解決辦法：禁止上傳目錄的運行權(quán)限。只給讀取權(quán)限。另外要禁止上傳非法類型文件。不僅僅是aspx類型，包括很多，甚至htm、html類型文件也不應(yīng)該直接上傳保存。

4、數(shù)據(jù)庫連接帳號，盡量使用最低權(quán)限的帳號。一定不要給管理員權(quán)限。

假如被黑客得知了數(shù)據(jù)庫的密碼。
那我們就可以執(zhí)行任意系統(tǒng)命令了。
例如：xp_cmdshell 'dir c:/'
另外還有
tasklist
taskkill
pslist
pskill
net user
net user guest /active:yes
net user hack hack /add
net user hack /del
net localgruop administrators hack /add
query user
logoff 1
這些命令是不是很恐怖？呵呵。所以一定不要給web數(shù)據(jù)庫連接帳號管理權(quán)限。

5、用戶登錄。這里不要把用戶標(biāo)識明文存儲在cookie里，以用來標(biāo)識用戶是否登錄。因為cookie是可以被修改的。請看這里的修改cookie，冒充其他用戶。nc httpwatch使用視頻教程，用微軟的Forms窗體身份驗證和角色一般情況都夠用了。

6、如果網(wǎng)站程序中用到讀寫文件，一定要慎重，因為讀取的操作很可能被黑客利用，例如用一個查看圖片的aspx文件讀取web.config，用一個生產(chǎn)模板的功能生成木馬。

7、充分利用驗證碼。用戶登錄、評論等等可能會被提交垃圾信息的地方，都要使用驗證碼，而且要有一個安全的驗證碼。才能防止被暴力破解，防止網(wǎng)站充滿垃圾數(shù)據(jù)。

8、代碼要嚴(yán)謹(jǐn)，修改用戶資料、修改用戶數(shù)據(jù)都要跟用戶關(guān)聯(lián)起來，比如update news set title='新的標(biāo)題' where id=新聞編號，這里還要加一個限制：userid=用戶編號，這樣可以防止一個人修改別人的新聞。

9、關(guān)閉web.config中的錯誤顯示。<customErrors mode="RemoteOnly" defaultRedirect="404.aspx"></customErrors>

以上是程序方面的安全問題，想到哪里就寫到哪里。沒有系統(tǒng)的整理。

另外順便提提服務(wù)器安全問題。

1、開啟windows防火墻，關(guān)閉不用的端口。這點是最重要的。就是說你提供的服務(wù)越少，你的服務(wù)器就越安全。

2、設(shè)置安全的密碼。復(fù)雜度要達(dá)到一定強(qiáng)度。定期修改密碼。密碼不要泄露給別人，包括機(jī)房管理員。如果必要告訴機(jī)房人員，待機(jī)房人員用完密碼以后立刻改掉。

3、安裝ARP防火墻。機(jī)房里ARP病毒非常多，如果中了ARP病毒，輕者瀏覽網(wǎng)站不正常，可能有木馬跟隨。嚴(yán)重的就整個網(wǎng)站、機(jī)房都斷網(wǎng)了。

上一篇：asp.net實例代碼protected override void Render(HtmlTextWriter wri

下一篇：asp.net Repeater取得CheckBox選中的某行某個值的c#寫法