asp.net网站安全从小做起与防范小结

2024-07-10 12:39:46

字体：大中小

来源：转载

供稿：网友

以下都以ASP.NET开发网站为例。

1、sql注入漏洞。

解决办法：使用存储过程，参数不要用字符串拼接。简单改进办法：使用SqlHelper和OledbHelper

2、跨站脚本漏洞

解决办法：“默认禁止，显式允许”的策略。具体参考：从客户端检测到有潜在危险的Request.Form值，禁止提交html标记（<>等被转义成<）

3、上传漏洞

解决办法：禁止上传目录的运行权限。只给读取权限。另外要禁止上传非法类型文件。不仅仅是aspx类型，包括很多，甚至htm、html类型文件也不应该直接上传保存。

4、数据库连接帐号，尽量使用最低权限的帐号。一定不要给管理员权限。

假如被黑客得知了数据库的密码。
那我们就可以执行任意系统命令了。
例如：xp_cmdshell 'dir c:/'
另外还有
tasklist
taskkill
pslist
pskill
net user
net user guest /active:yes
net user hack hack /add
net user hack /del
net localgruop administrators hack /add
query user
logoff 1
这些命令是不是很恐怖？呵呵。所以一定不要给web数据库连接帐号管理权限。

5、用户登录。这里不要把用户标识明文存储在cookie里，以用来标识用户是否登录。因为cookie是可以被修改的。请看这里的修改cookie，冒充其他用户。nc httpwatch使用视频教程，用微软的Forms窗体身份验证和角色一般情况都够用了。

6、如果网站程序中用到读写文件，一定要慎重，因为读取的操作很可能被黑客利用，例如用一个查看图片的aspx文件读取web.config，用一个生产模板的功能生成木马。

7、充分利用验证码。用户登录、评论等等可能会被提交垃圾信息的地方，都要使用验证码，而且要有一个安全的验证码。才能防止被暴力破解，防止网站充满垃圾数据。

8、代码要严谨，修改用户资料、修改用户数据都要跟用户关联起来，比如update news set title='新的标题' where id=新闻编号，这里还要加一个限制：userid=用户编号，这样可以防止一个人修改别人的新闻。

9、关闭web.config中的错误显示。<customErrors mode="RemoteOnly" defaultRedirect="404.aspx"></customErrors>

以上是程序方面的安全问题，想到哪里就写到哪里。没有系统的整理。

另外顺便提提服务器安全问题。

1、开启windows防火墙，关闭不用的端口。这点是最重要的。就是说你提供的服务越少，你的服务器就越安全。

2、设置安全的密码。复杂度要达到一定强度。定期修改密码。密码不要泄露给别人，包括机房管理员。如果必要告诉机房人员，待机房人员用完密码以后立刻改掉。

3、安装ARP防火墙。机房里ARP病毒非常多，如果中了ARP病毒，轻者浏览网站不正常，可能有木马跟随。严重的就整个网站、机房都断网了。

上一篇：asp.net实例代码protected override void Render(HtmlTextWriter wri

下一篇：asp.net Repeater取得CheckBox选中的某行某个值的c#写法