安全心得(2009-09-09)

最新推荐文章于 2022-11-19 16:59:41 发布
最新推荐文章于 2022-11-19 16:59:41 发布
阅读量405 收藏
点赞数
分类专栏: WebForm 文章标签: 服务器 asp.net 数据库 正则表达式 session string
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/donghaima/article/details/4535020
版权

1)输入框必须限制长度,够用就行,最好用正则表达式限制内容;
2)禁止输入<HTML>标记,ASP.NET默认设置是禁止的;
3)上传文件要严格限制类型和文件后缀,最好读取文件的头字节来判断;
4)数据库帐号不要和服务器密码相同,最好是有限权限;
5)不应该把系统提供的错误信息直接暴露给用户,包括没有捕捉的页面错误和捕捉到的ex.Message;
   A.最保守的错误显示机制:在客户端只能看到发生错误提示修改CustomError的默认信息,在服务器端会显示具体的错误代码位置,
   这也是ASP.NET默认的方式;
   B.只捕捉已知的错误,然后显示给用户友好的提示,其他错误尝试写到服务器日志里等。
   C.如果使用ex.Message直接显示给用户,可能暴露一些输入数据库帐号,表名,索引名称等等的关键信息。
6) 不要直接使用字符串构造SQL命令,应该用SQLDataSource等控件或着参数构造命令,它们会帮你过滤有威胁的字符;
7) 用Session 而不是Request,尽量不要暴露网页参数。并且一定要检查传递的参数,比如ID可以转换数字再转换成String使用;
8) 发布Web.Config的时候,应该删除编程时候本地连接服务器的连接串
9) 程序中用到的SELECT 跨数据库或跨服务器查询涉及的帐号应该权限最小,最好只读。

donghaima
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web安全期末复习
kaisaooo的博客
07-02 6297
目录前言知识点Web应用开发基础Web信息收集Web漏洞扫描SQL注入文件上传攻击跨站脚本攻击(XSS)跨站请求伪造命令执行漏洞Web Server配置安全认证和授权日志系统构建及日志分析实战与综合简答题复习要点ASP.NET安全控件web应用系统的数据加密数据库安全通信身份验证日志分析安全配置一套习题 前言 本文用来记录Web安全的复习资料,大部分内容都是从老师ppt的复习范围中节选的,可能不太全,经过考试的心得:有时间的可以多看看,考的比较杂啥都有,但是SQL注入、XSS、文件上传漏洞是重中之重。有
libcurl使用心得--c++客户端url传输库
11-13 368
libcurl使用心得 Libcurl为一个免费开源的,客户端url传输库,支持FTP,FTPS,TFTP,HTTP,HTTPS,GOPHER,TELNET,DICT,FILE和LDAP,跨平台,支持Windows,Unix,Linux等,线程安全,支持Ipv6。并且易于使用。 http://curl.haxx.se/libcurl/ 从http://curl.haxx.se/libcurl
ckeditor webshell .php,折腾CKeditor与CKfinder的一点心得 - WEB前台 - CKeditor -...
weixin_39984982的博客
03-19 273
提到CKeditor、CKfinder,大家也许有些陌生,但提到FCKeditor,一定大名鼎鼎了。CKeditor与CKfinder就是它的新版本。In 2009, we decided to rename the editor, bringing to light the next generation of our software: CKEditor 3.0.需要注意的是新版本的CKedi...
MySQL学习心得
最新发布
W295723987的博客
11-19 1520
INSERT INTO 表名(字段名1,字段名2,... ) VALUES(值1,值2,...),(值1,值2,...),(值1,值2,...);是一组操作的集合,他是一个不可分割的工作单位,事务会把所有的操作作为一个整体一起向系统提交或者撤销操作请求,即这些操作要么同时成功,要么同时失败。INSERT INTO 表名 VALUES(值1,值2,...),(值1,值2,...),(值1,值2,...);INSERT INTO 表名(字段名1,字段名2, ... ) VALUES(值1,值2,...);
跨入安全的殿堂--读《Web入侵安全测试与对策》感悟
weixin_33889665的博客
11-09 86
前言 最近读完了《Web入侵安全测试与对策》,从中获得了不少灵感。此书介绍了很多Web入侵的思路,以及国外著名安全站点,使我的眼界开阔了不少。在此,我重新把书中提到的攻击模式整理归纳了一遍,并附上相关的一些参考资料,希望会对各位Web开发人员和安全测试人员有所帮助。 现在Web攻击方式日新月异,但基本思想很多都源于下面的攻击方式,比如,下...
Web开发基本准则-55实录-Web访问安全
旁观者(郑昀)
10-15 144
  Web开发工程师请阅读下面的前端开发准则,这是第一部分,强调了过去几年里我们注意到的Web工程师务须处理的Web访问安全基础点。尤其是一些从传统软件开发转入互联网开发的工程师,请仔细阅读,不要因为忽视这些基础点而制造一个又一个的漏洞或突发事件。   Web开发基本准则-55实录-Web访问安全 郑昀 创建于2013年2月 郑昀 最后更新于2013年10月14日 提纲: W...
《uCOS51移植心得》---七年前之《快快乐乐跟我学51单片机操作系统和IP栈》
上官弘毅
12-11 2900
http://www.amobbs.com/forum.php?mod=viewthread&tid=3396563 《uCOS51移植心得》---七年前之《快快乐乐跟我学51单片机操作系统和IP栈》 巨龙公司系统集成开发部 杨屹 asdjf@163.com  2002/10/03 引言     自从发表《uCOS51移植心得》以来,我收
IT30: 30岁IT人CTO&CIO职业生涯探讨(2009-2013)
weixin_46128898的博客
03-18 1241
致敬曾经热血沸腾的ERP100壹佰网 火贴之:MIS ,CTO, IT Manager , CIO的职业生涯之路大探讨(2009.4—2013.8) 题记说明 1、 背景:此文是2009年时在HK公司工作时有感而发,当年在ERP100上此贴甚火,经历5年,不断有人回复。当年Frank是IT Manager。历久弥香,11年后今年再翻开此贴,原来对于大家有用,只要是好了,帮助别人,成就别人,让别人少...
每日学习打卡-汇总处
大林程序员
04-03 3332
无,就是一个打卡而已
软考软件评测师09-2017真题及答案(做题打印版).zip
09-18
这个名为"软考软件评测师09-2017真题及答案(做题打印版).zip"的压缩包文件包含了从2009年至2017年的历年真题和对应的答案,是为准备参加软考软件评测师考试的考生精心准备的复习资料。这些真题是考生了解考试形式...
针式PinPKM-V201506(免费无使用限制)
10-18
版本8.0.0更新时间:2009-09-29 新增多项创新功能: 剪贴板:资料整理助手和中转站,方便知识点的重新归类、分类的移动和文件关联到其它知识点 知识点列表的自定义显示字段:基于分类,让每个人的知识管理梦想,得到...
PinPKM-V201525(官网发布的最后一个免费无使用限制版本)
11-08
版本8.0.0更新时间:2009-09-29 新增多项创新功能: 剪贴板:资料整理助手和中转站,方便知识点的重新归类、分类的移动和文件关联到其它知识点 知识点列表的自定义显示字段:基于分类,让每个人的知识管理梦想,得到...
GridView固定表头的方法两则
donghaima的专栏
08-08 3070
方法一:无标题页 .Freezing  {   position:relative ;   table-layout:fixed;   top:expression(this.offsetParent.scrollTop);     z-index: 10; } .Freezing th{text-overflow:ellipsis;overflow:hidden;white-spac
WebRequest登录ASP.NET页面
donghaima的专栏
03-05 1737
 CookieContainer cookieContainer = new CookieContainer();            // 设置打开页面的参数            string URI = "http://xxx/logon.aspx";            HttpWebRequest request = WebRequest.Create(URI) as HttpW
HTML注入
donghaima的专栏
04-02 1633
默认地,ASP.NET 1.1和2.0请求验证会对送至服务器的数据检测是否含有HTML标记元素和保留字符.这可以防止用户向程序中输入脚本.请求验证会对照一个有潜在威胁的字符串列表进行匹配,如果发现异常它会抛出一个HttpRequestValidationException类型的异常.你可以在你的web.config文件中的元素中加入validateRequest="false" 或在单独的页面的@
用户控件自定义事件
donghaima的专栏
06-15 866
.NET FRAMEWORK 1.1用户控件://定义事件名称public event EventHandler GetRq;protected void OnGetRq(object sender,EventArgs e) {     if (GetRq!=null)     GetRq(sender,e); }//用户触发private void Button1_Click(obj
为了在WEB页面中完成全键盘操作
donghaima的专栏
09-11 819
和C/S一样,我需要在商品编号输入框中输入若干数字,按下回车后,跳出一个网页对话框,里面是和商品编号有关的GridView,选中后关闭网页对话框,将信息带回原来的页面。 //这段代码用来定义弹出对话框if (!Page.IsClientScriptBlockRegistered("clientScript"))        {            String strScript
去掉非法汉字
donghaima的专栏
12-18 799
从DBF传来的数据有时候会有半个汉字,导致用AJAX显示网页不正常,做了个函数检查最后一个字节是否是非法的汉字. public static string CheckMisshapenGBCC(string InputString)    {        InputString = InputString.Trim();        byte[] b = System.Text.Enc
S7-200 PLC使用心得与技巧
“S7-200经验点滴相当重要 - 描述了S7-200 PLC的操作模式、状态指示灯、存储器卡的使用以及调试技巧。” 在自动化领域,Siemens的S7-200系列PLC是广泛应用的小型工业控制器。这篇文章主要分享了作者在实际操作过程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值