漏洞:SQL注入、SQL盲注
解决方法:1、pages标签加validateRequest="false"属性,如果是.NET 4.0以上,还要在httpRuntime标签加requestValidationMode="2.0"属性;2、httpRuntime标签加requestPathInvalidCharacters=""属性;设置了以上属性后,网站要对URL里面的内容和FORM里面的内容做安全性检测,这样可以防止IIS底层过滤客户提交内容后返回400错误导致安全检测软件检测错误
漏洞:跨站点脚本编制
解决方法:所有AJAX方法加try-catch,在catch将所有异常记录到日志里面,防止暴露数据库错误信息或者嵌入脚本
漏洞:认证旁路
解决方法:在相应的页面检测是否已登录,如果没登录转到超时页面