常见的ASP.NET安全缺陷(上)

最新推荐文章于 2024-04-26 20:00:51 发布
最新推荐文章于 2024-04-26 20:00:51 发布
阅读量502 收藏
点赞数
分类专栏: Asp.NET 文章标签: asp.net web应用开发 integer sql server 浏览器 user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bobolink_lu/article/details/2492526
版权

  根据IBM的系统科学协会(Systems Sciences Institute)的研究,如果等到软件部署之后再来修补缺陷,其代价相当于开发期间检测和消除缺陷的15倍。

  为了用最小的代价保障应用程序的安全,在代码本身的安全性、抗御攻击的能力等方面,开发者应当担负更多的责任。然而,要从开发的最初阶段保障程序的安全性,必须具有相应的技能和工具,而真正掌握这些技能和工具的开发者并不是很多。虽然学写安全的代码是一个复杂的过程,最好在大学、内部培训会、行业会议上完成,但只要掌握了下面五种常见的ASP.NET应用安全缺陷以及推荐的修正方案,就能够领先一步,将不可或缺的安全因素融入到应用的出生之时。

  一、不能盲目相信用户输入

  在Web应用开发中,开发者最大的失误往往是无条件地信任用户输入,假定用户(即使是恶意用户)总是受到浏览器的限制,总是通过浏览器和服务器交互,从而打开了攻击Web应用的大门。实际上,黑客们攻击和操作Web网站的工具很多,根本不必局限于浏览器,从最低级的字符模式的原始界面(例如telnet),到CGI脚本扫描器、Web代理、Web应用扫描器,恶意用户可能采用的攻击模式和手段很多。

  因此,只有严密地验证用户输入的合法性,才能有效地抵抗黑客的攻击。应用程序可以用多种方法(甚至是验证范围重叠的方法)执行验证,例如,在认可用户输入之前执行验证,确保用户输入只包含合法的字符,而且所有输入域的内容长度都没有超过范围(以防范可能出现的缓冲区溢出攻击),在此基础上再执行其他验证,确保用户输入的数据不仅合法,而且合理。必要时不仅可以采取强制性的长度限制策略,而且还可以对输入内容按照明确定义的特征集执行验证。下面几点建议将帮助你正确验证用户输入数据:

  ⑴ 始终对所有的用户输入执行验证,且验证必须在一个可靠的平台上进行,应当在应用的多个层上进行。

  ⑵ 除了输入、输出功能必需的数据之外,不要允许其他任何内容。

  ⑶ 设立“信任代码基地”,允许数据进入信任环境之前执行彻底的验证。

  ⑷ 登录数据之前先检查数据类型。

  ⑸ 详尽地定义每一种数据格式,例如缓冲区长度、整数类型等。

  ⑹ 严格定义合法的用户请求,拒绝所有其他请求。

  ⑺ 测试数据是否满足合法的条件,而不是测试不合法的条件。这是因为数据不合法的情况很多,难以详尽列举。

  二、五种常见的ASP.NET安全缺陷

  下面给出了五个例子,阐述如何按照上述建议增强应用程序的安全性。这些例子示范了代码中可能出现的缺陷,以及它们带来的安全风险、如何改写最少的代码来有效地降低攻击风险。

  2.1 篡改参数

  ◎ 使用ASP.NET域验证器

  盲目信任用户输入是保障Web应用安全的第一敌人。用户输入的主要来源是HTML表单中提交的参数,如果不能严格地验证这些参数的合法性,就有可能危及服务器的安全。

  下面的C#代码查询后端SQL Server数据库,假设user和password变量的值直接取自用户输入: 

       SqlDataAdapter my_query = new SqlDataAdapter(

  "SELECT * FROM accounts WHERE acc_user='" + user + "' AND acc_password='" + password, the_connection);

  从表面上看,这几行代码毫无问题,实际上却可能引来SQL注入式攻击。攻击者只要在user输入域中输入“OR 1=1”,就可以顺利登录系统,或者只要在查询之后加上适当的调用,就可以执行任意Shell命令:

  '; EXEC master..xp_cmdshell(Oshell command here')--

  ■ 风险分析

  在编写这几行代码时,开发者无意之中作出了这样的假定:用户的输入内容只包含“正常的”数据——合乎人们通常习惯的用户名字、密码,但不会包含引号之类的特殊字符,这正是SQL注入式攻击能够得逞的根本原因。黑客们可以借助一些具有特殊含义的字符改变查询的本意,进而调用任意函数或过程。

  ■ 解决方案

  域验证器是一种让ASP.NET开发者对域的值实施限制的机制,例如,限制用户输入的域值必须匹配特定的表达式。

  要防止上述攻击行为得逞,第一种办法是禁止引号之类的特殊字符输入,第二种办法更严格,即限定输入域的内容必须属于某个合法字符的集合,例如“[a-zA-Z0-9]*”。

  2.2 篡改参数之二

  ◎ 避免验证操作的漏洞

  然而,仅仅为每个输入域引入验证器还不能防范所有通过修改参数实施的攻击。在执行数值范围检查之时,还要指定正确的数据类型。

  也就是说,在使用ASP.NET的范围检查控件时,应当根据输入域要求的数据类型指定适当的Type属性,因为Type的默认值是String。

  < !-- 要求输入值必须是1-9之间的数字 -->

  < asp:RangeValidator ... MinimumValue="1" MaximumValue="9" .../>

  ■ 风险分析

  由于没有指定Type属性值,上面的代码将假定输入值的类型是String,因此RangeValidator验证器只能确保字符串由0-9之间的字符开始,“0abcd”也会被认可。

  ■ 解决方案

  要确保输入值确实是整数,正确的办法是将Type属性指定为Integer:

  < !-- 要求输入值必须是1-9之间的数字 -->

  < asp:RangeValidator ... MinimumValue="1"

  MaximumValue="9" Type="Integer"

bobolink_lu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASP.NET信息安全研究所设备管理系统的设计与实现(源代码+论文).zip
08-11
ASP.NET信息安全研究所设备管理系统的设计与实现(源代码+论文).zip
ASP.NET的优点与缺点
yizhyi的专栏
03-10 1308
一. ASP.NET的演变:DENALI ASP 的第一个测试版本ASP1.0 作为IIS 3.0的加载项提供ASP2.0 作为NT4.0的一部分出现ASP3.0 WINDOWS 2000随附ASP.NET .NET框架随附二. ASP.NET的优点:1. 支持崎岖能够类型语言,如C#,VB2. 编译页可改进执行速度3. 内置方法TRACE可以帮助调试页4. 提供声明性芙蕖器控件5. 通过继承
Web Services及ASP.NET应用程序的安全策略和方法
09-14
WebServices的出现及ASP.NET应用程序的普及已经完全改变了管理信息系统领域的格局,但在WebServices技术领域仍然存在着一些缺陷,特别是安全性问题,本文将针对这一问题介绍其应对的策略和方法
ASP.NET信访管理系统论文
01-23
ASP.NET信访管理系统, 在本系统的开发过程中,由于本人是初次开发管理系统,在知识、经验方面都存在着不足。另外,在整个开发的过程中,时间也比较仓促。因此,该系统必然会存在一些缺陷和不足。本系统现在只有三个...
毕业设计依据ASP.NET+SQL通用作业批改系统设计(源代码+论文)
03-24
该系统采用B/S结构,以浏览器方式登陆系统,用ASP.NET作为开发语言,数据库则使用Microsoft SQL Server 2000实现。《通用作业批改系统》包括了学生子系统、教师子系统、管理员子系统三大模块,该系统主要完成学生,...
Asp.Net Forums 2 v1.1 源代码.zip
07-09
无需ASP.NET Session支持 版主环保箱功能,而非立即的物理删除贴子 版主管理功能 记录用户,IP地址和邮件地址功能 版主接收会员报告请示功能 指定论坛自动删除选项 编辑会员功能 强大的搜索功能 搜索关键字...
Asp.NET中弹出窗口
悲魔冢
05-29 1564
     写了很久的Winform,简单的探出对话框处理一直都没有引起什么注意,最近加到一个Asp.NET项目组,虽然对于从Winform到Web会比较麻烦这点早就有所觉悟的,但是没有想到的是第一只拦路虎居然就是探出对话框。主要遇到的麻烦就是:一、弹出消息框的时候,线程并不会阻塞等待对话框的确认,而是直接就执行下去了。尤其是在弹出确认对话框后进行页面跳转的时候,没来得及探出对话框就
ASP.NET教务管理平台-权限及公共模块设计与开发
大叔_爱编程 的博客
04-23 741
Visual Studio 2005 是一系列高效的、智能的开发工具的统称,它拥有一个庞大的产品线,包括面向学生、爱好者、初学者的Express版,面向专家、Visual Basic 6的Standard版,面向顾问、企业开发人员的Professional版和面向架构师的Team System版本。在这些版本中,有些集成了开发软件常用到的东西,比如重构、单元测试、类设计器等等,以方便开发人员快速的设计各类软件。
ASP.NET某企业信息管理系统的设计与实现
大叔_爱编程 的博客
04-26 829
信息管理系统就是我们常说的MIS(Management Information System),它是一个计算机软硬件资源以及数据库的人-机系统。经过对题目和内容的分析,选用了Microsoft公司的ASP.NET开发工具,由于它提供了用于从数据库中访问数据的强大工具集,使用它可以建立开发比较完善的数据库操作应用程序,并利用SQL Server2000提供数据库。根据实际情况,使用快速原型法(Rapid Prototyping)即以少量代价快速地构造一个可执行的软件系统模型。以此为基础,搭建了系统框架,对其下
#这是一篇关于 LabVIEW 介绍说明、使用技巧和优缺点对文章
最新发布
04-26
labview
重庆大学数字电子技术试题.pdf
04-26
重庆大学期末考试试卷,重大期末考试试题,试题及答案
重庆大学2012电磁场考题(A)参考答案及评分标准.pdf
04-26
重庆大学期末考试试卷,重大期末考试试题,试题及答案
5G智慧港口解决方案.pptx
04-26
在现有省、市港口信息化系统进行有效整合基础上,借鉴新 一代的感知-传输-应用技术体系,实现对码头、船舶、货物、重 大危险源、危险货物装卸过程、航管航运等管理要素的全面感知、 有效传输和按需定制服务,为行政管理人员和相关单位及人员提 供高效的管理辅助,并为公众提供便捷、实时的水运信息服务。 建立信息整合、交换和共享机制,建立健全信息化管理支撑 体系,以及相关标准规范和安全保障体系;按照“绿色循环低碳” 交通的要求,搭建高效、弹性、高可扩展性的基于虚拟技术的信 息基础设施,支撑信息平台低成本运行,实现电子政务建设和服务模式的转变。 实现以感知港口、感知船舶、感知货物为手段,以港航智能 分析、科学决策、高效服务为目的和核心理念,构建“智慧港口”的发展体系。 结合“智慧港口”相关业务工作特点及信息化现状的实际情况,本项目具体建设目标为: 一张图(即GIS 地理信息服务平台) 在建设岸线、港口、港区、码头、泊位等港口主要基础资源图层上,建设GIS 地理信息服务平台,在此基础上依次接入和叠加规划建设、经营、安全、航管等相关业务应用专题数据,并叠 加动态数据,如 AIS/GPS/移动平台数据,逐步建成航运管理处 "一张图"。系统支持扩展框架,方便未来更多应用资源的逐步整合。 现场执法监管系统 基于港口(航管)执法基地建设规划,依托统一的执法区域 管理和数字化监控平台,通过加强对辖区内的监控,结合移动平 台,形成完整的多维路径和信息追踪,真正做到问题能发现、事态能控制、突发问题能解决。 运行监测和辅助决策系统 对区域港口与航运业务日常所需填报及监测的数据经过科 学归纳及分析,采用统一平台,消除重复的填报数据,进行企业 输入和自动录入,并进行系统智能判断,避免填入错误的数据, 输入的数据经过智能组合,自动生成各业务部门所需的数据报 表,包括字段、格式,都可以根据需要进行定制,同时满足扩展 性需要,当有新的业务监测数据表需要产生时,系统将分析新的 需求,将所需字段融合进入日常监测和决策辅助平台的统一平台中,并生成新的所需业务数据监测及决策表。 综合指挥调度系统 建设以港航应急指挥中心为枢纽,以各级管理部门和经营港 口企业为节点,快速调度、信息共享的通信网络,满足应急处置中所需要的信息采集、指挥调度和过程监控等通信保障任务。 设计思路 根据项目的建设目标和“智慧港口”信息化平台的总体框架、 设计思路、建设内容及保障措施,围绕业务协同、信息共享,充 分考虑各航运(港政)管理处内部管理的需求,平台采用“全面 整合、重点补充、突出共享、逐步完善”策略,加强重点区域或 运输通道交通基础设施、运载装备、运行环境的监测监控,完善 运行协调、应急处置通信手段,促进跨区域、跨部门信息共享和业务协同。 以“统筹协调、综合监管”为目标,以提供综合、动态、实 时、准确、实用的安全畅通和应急数据共享为核心,围绕“保畅通、抓安全、促应急"等实际需求来建设智慧港口信息化平台。 系统充分整合和利用航运管理处现有相关信息资源,以地理 信息技术、网络视频技术、互联网技术、移动通信技术、云计算 技术为支撑,结合航运管理处专网与行业数据交换平台,构建航 运管理处与各部门之间智慧、畅通、安全、高效、绿色低碳的智 慧港口信息化平台。 系统充分考虑航运管理处安全法规及安全职责今后的变化 与发展趋势,应用目前主流的、成熟的应用技术,内联外引,优势互补,使系统建设具备良好的开放性、扩展性、可维护性。
机械工程学位 Matlab.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
Matlab菌丝检测识别项目.zip
04-26
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
基于django-xadmin的idc资产管理应用.zip
04-26
基于django-xadmin的idc资产管理应用.zip
电商数据分析.py
04-26
电商数据分析.py
头哥机组练习-第4关:16位快速加法器设计(计算机组成原理-谭志虎-华科大)
04-26
头哥机组练习-第4关:16位快速加法器设计(计算机组成原理-谭志虎-华科大)
asp.net 安全生产智慧 源码
01-04
ASP.NET安全生产智慧源码是一个基于ASP.NET技术开发的智能安全生产管理系统源代码。该系统旨在帮助企业建立起完善的安全生产管理体系,提高生产安全管理水平,减少事故发生的可能性。 该系统包括了基本的用户管理、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值