.NET开发人员容易犯的6大安全错误

最新推荐文章于 2024-05-20 10:39:15 发布
最新推荐文章于 2024-05-20 10:39:15 发布
阅读量429 收藏
点赞数
分类专栏: ASP.NET编程 文章标签: .net scripting parameters security cookies sql

 

HP的白皮书《Top six security mistakes .NET developers make : are your web applications vulnerable ?》中提到:行业分析估计超过70%的安全问题是伴随应用程序一起发生的,很多是由于代码的安全性缺陷造成的。

  微软在.NET中增加了不少的安全特性来帮助开发人员创建更加安全的应用程序。但是并不是每位开发人员都很好地使用了它们。

  文中列出了.NET开发者在安全性方面通常会犯的6个主要的错误:

1、在开发过程中没有把安全考虑进去。

2、SQL注入(SQL injection)。

3、跨站脚本(Cross-site scripting)。

4、把用户输入作为文件名。

5、不恰当地使用cookies和隐藏参数(hidden parameters)。

6、在Web.config文件中使debug选项可用。 

gooddasenlin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
.net开发人员错误分析小结
10-30
我最新一直在和新手和入手级开发人员打交道,我注意到一些开发人员(甚至是老手)在粗心时常错误。这些错误各不相同,从工具的使用到网络服务的适当应用都有。以下是六个主要的开发错误
.NET开发人员的6大安全错误
03-05
.NET开发人员的6大安全错误! 值得下载看看!资源免费,大家分享!!
.Net开发人员的6大安全错误
09-05 463
业内分析人士估计,有超过70%的安全漏洞是在应用程序中被发现的,大部分都是由代码内存在的安全缺陷引起的。微软已经为.Net环境添加了大量的功能,帮助开发人员创建安全的应用程序,例如,身份验证已经成为开发环境集成的一个功能,另外,默认情况下调试消息被禁用掉了。微软对安全的关注程度极
互联网安全性问题
yjc0403的博客
12-19 619
互联网安全性问题            谈到互联网安全,会想起中间人攻击,DNS劫持,代理服务器等,对于这么多的危险,怎么保证我们的系统真的足够安全呢?       一个有效的方法:End to End Encryption(端对端加密)       怎么去理解端对端加密呢?核心有如下两点:   客户端和服务端交换期间,数据是加密的 既然加密,就用到加密的key,每个...
关于HTTP和HTTPS的安全问题
f2652349894的博客
08-31 5323
普通HTTP请求存在的问题         HTTP 本身是明文传输的,没有经过任何安全处理。例如用户在百度搜索了一个关键字,比如“苹果手机”,中间者完全能够查看到这个信息,并且有可能打电话过来骚扰用户。也有一些用户投诉使用百度时(官网:www.fhadmin.org),发现首页或者结果页面浮了一个很长很大的广告,这也肯定是中间者往页面插的广告内容。如果劫持技术比较低劣的话,用户甚至无
【常见Web应用安全问题】---6、Script source code disclosure
weixin_34128839的博客
12-22 390
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。  常见Web应用安全问题安全性问题的列表:   1、跨站脚本攻击(CSS or XSS, Cross Site Scripting)   2、SQL注入攻击(SQL injection)   3、远程命令执行(Code execution,个人觉得译成代码执行并不确...
AutoCAD .net开发人员手册中文版
12-18
AutoCAD .net开发人员手册中文版 文档介绍: 当前版本为20101128版,为第一个CHM版本,如需更新版本,请及时关注http://www.01vb.com,也可以查看CHM文件中的前言部分的版本通知。 因本版本制作仓促,还有如下不完善...
AutoCAD .net开发人员手册中文版.rar_.NET开发_autocad二次开发_cad 二次开发_cad.net_开发
07-14
AUTOCAD 二次开发人员手册 用以学习CAD的二次开发
web安全问题解决方案
鸣人的博客
01-08 550
1. 防止网站被人嵌套 解决方法: 在该jsp文件的顶部加入 response.setHeader("X-Frame-Options","SAMEORIGIN"); %> 2. el表达式XSS攻击 解决方法: // 第一种解决方法,这种方法比较通用,对于特殊场景不适用 out value="${page.name}" /> // 第二种解决方法,适用于特殊场景 "http:/
计算机网络安全的现状及对策
.NET快速开发框架
06-18 3752
     计算机网络安全的现状及对 策  以 影响 计算 机 网络 安全的主要因素为突破口,重点 分析 防范各种不利于计算机网络正常运行的措施,从不同角度全面了解影响计算机网络安全的情况,做到心中有数,将不利因素解决在萌芽状态,确保计算机网络的安全管理与有效运行。 1  影响计算机网络安全的主要因素   (1)网络系统在稳定性和可扩充性方面存在 问题 。由于设计的系统不规范、不合理以及缺乏
.NET 4.8和.NET 8.0的区别和联系、以及查看本地计算机的.NET版本
hanmo22357的博客
05-15 555
简单介绍了.NET Framework中的经典版本.NET 4.8和.NET Core中的经典版本.NET 8.0的区别
vb.net打开CAD指指定路径文件
最新发布
yongshiqq的博客
05-20 142
【代码】vb.net打开CAD指指定路径文件。
012.使用传统.NET事件进行通知操作
qq_37189288的博客
05-16 697
最近,Stocks R Us发现,它可以通过使用一个系统来节省资金,该系统可以为经历了剧烈变化的股票提供警报,正如Penny先生所说。例如,建筑物周围的安全摄像头,以及当有人可能在建筑物附近时触发的运动传感器,会向我们发送最近摄像头的照片。对于这些场景和其他类似的场景,编排往往会导致复杂的程序,正如你所看到的,Rx肯定会减轻这种努力。对于您的应用程序,最重要的属性是股票的报价符号和价格。如果股票信息存在,您可以检查股票的当前和以前的价格,如以下列表所示,以查看变化是否大于定义剧烈变化的阈值。
SQL进阶(六):通关题:制作一个活动日历
qq_33489955的博客
05-15 606
就是求当月的最后一天是周几,周六算1天,周日算两天SELECT(CASEELSE 0FROMGROUP BYyear_monthSELECTFROM[(5,)]a4 = '5' # 在 '' 中填入你的结果,如 a4 = '5' 代表有个 5 个周末(周六,周日分开计算,例如 2个周六 和 3个周日 = 5个周末)
【postgresql】PostgreSQL中的pgrowlocks插件介绍
hdhdhdk的博客
05-16 668
pgrowlocks是一个PostgreSQL的贡献者扩展,它扩展了标准的锁监控功能,允许用户查询特定表的行级锁信息。与pg_locks系统视图相比,pgrowlocks提供了更加细化的锁状态视图,能够显示哪些行被哪些事务锁定,这对于排查锁冲突、优化查询计划和调整并发控制策略至关重要。
PostgreSQL查看sql的执行计划
lee_vincent1的博客
05-16 587
在PostgreSQL中,查看SQL查询的执行计划是性能调优和问题诊断的重要步骤。PostgreSQL提供了一个叫做EXPLAIN的命令,可以让你查看查询的执行计划。通过EXPLAIN命令,你可以看到查询将如何执行,包括访问表的方法和使用的索引,预计的执行成本等。
autocad .net开发人员手册
05-15
AutoCAD .NET开发人员手册是一本详细介绍AutoCAD .NET开发框架的重要参考书。AutoCAD .NET提供了强大的编程接口和工具集,使得开发者能够开发出高效、灵活和精确的AutoCAD应用程序。 本手册主要包括三个部分。第一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值