写给ASP.NET程序员:网站中的安全问题
做项目也有一段时间了,在程序中也遇到很多安全方面的问题。也该总结一下了。这个项目是一个 CMS 系统。系统是用 ASP.NET 做的。开发的时候发现微软做了很多安全措施,只是有些新手程序员不知道怎么开启。下面我通过几个方面简单介绍:
1:SQL 注入
2:XSS
3:CSRF
4:文件上传
SQL 注入
引起原因:其实现在很多网站中都存在这种问题。就是程序中直接进行 SQL 语句拼接。可能有些读者不太明白。下面通过一个登录时对用户验证来说明:
验证时的 SQL 语句:
登录验证 SQL 语句(原始)
Select * from Where user = '" + txtUsername.Text + "' AND pwd = '" + txtPwd.Text + "'
这是一段从数据库中查询用户,对用户名,密码验证。
看上去好象没有什么问题,但是实际这里面浅藏着问题,用户名:admin 密码:admin
登录验证 SQL 语句(真实)
Select * from Where user = 'admin' AND pwd = 'admin'
如果用户和密码正确就可通验证。如果我用户名:asdf' OR 1 = 1 -- 密码:随意输入.
我们再来看语句:
登录验证 SQL 语句(注入)
Select * from Where user = 'asdf' OR 1 = 1 -- and pwd=''
执行后看到什么?是不是所有记录,如果程序只是简单判断返回的条数,这种方法就可以通验证。
如果执行语句是 SA 用户,再通过 xp_cmdshell 添加系统管理员,那么这个服务器就被拿下了。
解决方法:
a. 这个问题主要是由于传入特殊字符引起的我们可以在对输入的用户名密码进入过滤特殊字符处理。
b. 使用存储过程通过传入参数的方法可解决此类问题(注意:在存储过程中不可使用拼接实现,不然和没用存储过和是一样的)。
XSS(跨站脚本攻击)
引起原因:这个也有时被人们称作 HTML 注入,和 SQL 注入原理相似,也是没有特殊字符进行处理。是用户可以提交 HTML 标签对网站进行重新的构造。其实在默认的情况下在 ASP.NET 网页中是开启 validateRequest 属性的,所有 HTML 标签后会.NET都会验证:
但这样直接把异常抛给用户,多少用户体验就不好。
解决方法:
a. 通过在 Page 指令或 配置节中设置 validateRequest="fa
相关文档:
在Web编程过程中,存在着很多安全隐患。比如在以前的ASP版本中,Cookie为访问者和编程者都提供了方便,并没有提供加密的功能。打开IE浏览器,选择“工具”菜单里的“Internet选项”,然后在弹出的对话框里单击“设置”按钮,选择“查看文件”按钮,在弹出的窗口中,就会显示硬盘里 ......
1.对象初始化(OnInit方法)
页面中的控件(包括页面本身)都是在它们最初的FORM中被首次初始化的。通过在ASPX页面的后台代码文件的构造器中声明你的对象,页面将知道对象的类型,并知道需要创建多少个这样的对象。一旦你在构造器中声明了你的控件,你就可以在它的任何子类,方法,事件或者属性中访 ......
如果你已经有较多的面向对象开发经验,跳过以下这两步:
第一步 掌握一门.NET面向对象语言,C#或VB.NET。
我强烈反对在没系统学过一门面向对象语言的前提下去学ASP.NET。
ASP.NET是一个全面向对象的技术,不懂面向对象,那绝对学不下去!
第二步 对.NET Framework类库有一定的了解
可以通过开发Windows Form应用 ......
protected void Page_Load(object sender, EventArgs e)
{
if (Request.Cookies["login"] != null)
&nb ......
今天在csdn上看到一篇博客,是讲解关于'asp.net中解决页面刷新后字体等变大问题的',看了一下,感觉写的不是很详细。那么,我利用他的实例来具体了解一下:
原文:
protected void Button1_Click(object sender, EventArgs e)
{
&nb ......
