ASP.NET(C#)后台安全登陆代码(防XSS攻击\万能密码漏洞)

最新推荐文章于 2024-01-23 21:54:09 发布
最新推荐文章于 2024-01-23 21:54:09 发布
阅读量9.2k 收藏 3
点赞数 2
分类专栏: ASP.NET 
string ispostback = Context.Request["ispostbask"];
        string k8user = this.txtUser.Text.Trim();
        string k8pwd = this.txtPwd.Text.Trim();
        string k8md5pwd = FormsAuthentication.HashPasswordForStoringInConfigFile(k8pwd, "MD5").ToLower();
        //判断是否是表单提交过来的
        if (ispostback == "true")
        {   
            //判断输入是否为空
            if (k8user != "" || k8pwd != "")
            {
                //使用正则 严格检查 这里是关键 呵呵
               //没有特殊符号 所以万能密码里的= 号分号等失效
               //XSS也是一样 < % 各种语句要用到的符号都不符合
                //用户名长度4-8个 字母或数字
                Regex k8chkName = new Regex("^[[a-zA-Z0-9]{4,8}$");
                //密码7-12 字母大小写以及数字
                Regex k8chkpwd1 = new Regex(@"\d+");
                Regex k8chkpwd2 = new Regex(@"[a-zA-Z]+");
                Regex k8chkpwd3 = new Regex(@"^[a-zA-Z0-9]{7,12}$");
                //检测用户名
                if (k8chkName.IsMatch(k8user))
                {   
                    //检测密码
                    if (k8chkpwd1.IsMatch(k8pwd) && k8chkpwd2.IsMatch(k8pwd) && k8chkpwd3.IsMatch(k8pwd))
                    {
                        //ClientScript.RegisterStartupScript(GetType(), "", "alert('符合输入');", true);
                        //这里再连接你的数据库 插入或者干嘛 随你大小便
                        try
                        {
                            OleDbConnection K8conn = new OleDbConnection();
                            K8conn.ConnectionString = @"Provider=Microsoft.Jet.OLEDB.4.0;Data source=" + Server.MapPath("K8Data/k8access.mdb");
                            K8conn.Open(); //打开数据库
                            //定义字符串
                            string k8sql = "select count(*) from K8admin where User='" + txtUser.Text.Trim() + "' and Pass='" + k8md5pwd + "'";//建立sql查询语句
                            OleDbCommand cmd = new OleDbCommand(k8sql, K8conn);//建立数据集
                            int state = Convert.ToInt32(cmd.ExecuteScalar());//执行sql语句,并返回获得值
                            if (state == 0 || state > 1)//如果数据中没有记录或有多条记录则抱错
                            {
                                ClientScript.RegisterStartupScript(GetType(), "", "alert('用户不存在或密码错误');", true);
                            }
                            else//正确数据指向登陆后页面
                            {
                                //Session["k8user"] = k8user;
                                //Session["k8pass"] = k8md5pwd;
                                Response.Cookies.Add(new HttpCookie(k8user, k8md5pwd));
                                Response.Redirect("admin.aspx");//指向登陆后页面
                            }
                            K8conn.Close();//关闭数据库
                        }
                        catch
                        {
                            ClientScript.RegisterStartupScript(GetType(), "", "alert('连接数据库失败');", true);
                        }
                        return;
                    }
                }
            }
            //为空或帐号密码错误
            ClientScript.RegisterStartupScript(GetType(), "", "alert('用户不存在或密码错误');", true);
        }

原文:http://qqhack8.blog.163.com/blog/static/114147985201162172136155/
whyabc
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
.net core xss攻击御的方法
10-18
主要介绍了.net core xss攻击御的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
Aspx漏洞总结
最新发布
carrot11223的博客
01-23 1110
有时候,这些代码不一定包含在上一层中,有可能是包含在上上层中,这个就得一直翻了,推荐使用idea进行使用,直接按住crtl的同时,点击包含的包,就可以进入到对应的代码中(涉及到代码审计)如果关闭,当页面报错的时候,就是网站定义的报错信息。在java中有很多jar包,而在.NET框架中的bin中对应有很多DLL文件,bin下面都是可执行文件,这些文件都是很多代码封装的,想要查看源码,都需要通过反编译的方式。数据库在两个里不一定是固定的,但是前三个搭配是一定的,iis的问题在asp和aspx都会受到影响。
AntiXss攻击防止C#代码文件
04-01
AntiXss攻击防止C#代码文件,AntiXss攻击防止C#代码文件
有关ASP.NET中跨站点脚本(XSS)预的绝对入门教程
04-11
在本文中,我们将尝试了解什么是跨站点脚本(XSS)。
XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
后端防止xss攻击两种方法
Koikoi12的博客
12-13 6947
一.写filter 新增 XssFilter 拦截用户提交的参数,进行相关的转义和黑名单排除,完成相关的业务逻辑。在整个过程中最核心的是通过包装用户的原始请求,创建新的 requestwrapper 保证请求流在后边的流程可以重复读。 1、使用spring的HtmlUtils,可以使用StringEscapeUtils 中的过滤方法 /** * 解决XSS跨站脚本攻击和sql注入攻击,使用spring的HtmlUtils,可以使用StringEscapeUtils 中的过滤方法 */ public c
跨域问题,防止表单重复提交,防止XSS攻击
qq_43868329的博客
02-06 354
跨域问题 1.设置请求头 代码: b_prokect <input type="text" name="username" id="username"><input type="button" value="提交" name="button" id="button"> <script type="text/javascript" src="js/jquery-1.8...
asp.net(c#)加密解密算法:sha1、md5、des、aes源码详解
WzhCsdnd的博客
03-22 1794
2、.Net(C#)加密解密类或者其父类都实现IDispose接口,因此需要通过using包裹起来(或者采用.net异常处理机制try catch finally),在使用完后销毁对象。1、.Net(C#)加密解密使用的类均存在System.Security.Cryptography命名空间下,使用时需先引用。
加密解密
xiangkuifu的博客
05-25 1008
应同事所邀把ASP.NET(C#)常用数据加密和解密方法列出供大家参考,特此发布出来,希望对大家有点帮助。数据虽来源于网络,系仰天一笑悉心整理。 ASP.NET(C#)常用数据加密和解密方法汇总 一、 数据加密的概念 1、 基本概念 2、 基本功能 3、 加密形式 二、 数据加密的项目应用和学习 1、...
c#.net全站防止SQL注入类的代码
MLAY
05-21 821
using System; using System.Collections.Generic; using System.Linq; using System.Web; /// <summary> /// SQL注入检查器 /// </summary> public class SqlChecker { //当前请求对象 private HttpRequest request; //当前响应对象 private HttpResponse resp...
ASP.NET编程知识】.net core xss攻击御的方法.docx
05-15
ASP.NET编程知识】.net core xss攻击御的方法.docx
C# NHtmlFilter 帮你过滤Html危险脚本 防止XSS攻击
weixin_30279751的博客
10-17 319
转:http://www.oschina.net/code/snippet_222150_9776 与原文代码略有改动 /// <summary> /// Html 脚本过滤 /// </summary> public class NHtmlFilter { prot...
C#网站代码防止漏洞和攻击 增强网站安全性方法
一只没有感情的AI机械猿
09-15 844
永远不要信任用户提供的输入数据。始终对用户提交的数据进行验证和过滤,以防止恶意输入。使用正则表达式、白名单过滤或内置的.NET验证来验证输入。使用参数化查询或存储过程来执行数据库查询,而不是将用户输入直接嵌入SQL语句中。这可以有效防止SQL注入攻击。始终对用户提交的数据进行HTML编码,以防止恶意脚本注入到你的网页中。使用或类似的编码函数。如果你的网站需要用户账户,确保实施强密码策略,并对用户密码进行适当的哈希和加盐处理。不要以明文存储密码。
网站攻击代码C#
yinbing2020的专栏
12-29 1707
IPHostEntry ipHost = Dns.GetHostEntry("www.csdn.net");               IPAddress ip = ipHost.AddressList.Where(i => { return i.AddressFamily.Equals(AddressFamily.InterNetwork); }).First();            
.NET(C#代码加密
weixin_30352191的博客
03-30 1206
public class Security{ string _QueryStringKey = "asdfghjk"; //URL传输参数加密Key,8个字符 string _PassWordKey = "abcabcab"; //PassWord加密Key public Security() { // // TODO: 在此处添加构造函数逻...
XSS注入相关的解决方案web xss攻击 漏洞
宇飞林海的博客
05-26 4229
一、什么是 XSS ? XSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。比如获取用户的 Cookie、导航到恶意网站、携带木马等。借助安全圈里面非常有名的一句话: 所有的输入都是有害的。 这句话把 XSS 漏洞的本质体现的淋漓尽致。大部分的 XSS 漏洞都是由于没有处理好用户的输入,导致恶意脚本在浏览器中执行。
ASP.NET常见漏洞
www.i201314.net
07-16 5208
未隐藏错误讯息  开发人员常会将方便排错,但正式上线时却忘了移除,导致一旦程序出错,相关程序代码细节甚至程序片段就赤裸裸地展示出来。黑客可能由其中找到相关的文件位置、数据库信息、组件版本... 等信息,提供入侵的指引。关闭Request Validation  依Hunt的统计,近30%的网站豪迈地关闭了全站的Request验证。若真有需要,针对页面关闭就好,至少伤害面变小,但如果心有余力,避
登陆界面万能密码绕过
1stPeak's Blog
08-12 3130
常见万能密码: admin'-- admin' or ''=''-- admin' or 1=1-- 'or 1=1-- admin'or''=' 'or'='or' 'or''='

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值