.Net网站架构设计(七)网络安全

最新推荐文章于 2023-06-03 10:55:58 发布
最新推荐文章于 2023-06-03 10:55:58 发布
阅读量241 收藏 1
点赞数

.Net网站架构设计(七)网络安全

.Net网站架构(七)网络安全

谈到网络安全,首先得说一下web网站有哪些最常见漏洞。

非法输入


Unvalidated Input

在数据被输入程序前忽略对数据合法性的检验是一个常见的编程漏洞。随着OWASP对Web应用程序脆弱性的调查,非法输入的问题已成为大多数Web应用程序安全漏洞方面的一个普遍现象。

方案:要在web前端,和服务器端对数据的合法性进行验证

[csharp]  view plain  copy
  1. public class PageValidate   
  2.   
  3.     {   
  4.   
  5.         private static Regex RegPhone = new Regex("^[0-9]+[-]?[0-9]+[-]?[0-9]$");   
  6.   
  7.         private static Regex RegNumber = new Regex("^[0-9]+$");   
  8.   
  9.         private static Regex RegNumberSign = new Regex("^[+-]?[0-9]+$");   
  10.   
  11.         private static Regex RegDecimal = new Regex("^[0-9]+[.]?[0-9]+$");   
  12.   
  13.         private static Regex RegDecimalSign = new Regex("^[+-]?[0-9]+[.]?[0-9]+$"); //等价于^[+-]?\d+[.]?\d+$   
  14.   
  15.         private static Regex RegEmail = new Regex("^[\\w-]+@[\\w-]+\\.(com|net|org|edu|mil|tv|biz|info)$");//w 英文字母或数字的字符串,和 [a-zA-Z0-9] 语法一样   
  16.   
  17.         private static Regex RegCHZN = new Regex("[\u4e00-\u9fa5]");   
  18.   
  19.    
  20.   
  21.         public PageValidate()   
  22.   
  23.         {   
  24.   
  25.         }   
  26.   
  27.    
  28.   
  29.    
  30.   
  31.         //数字字符串检查#region 数字字符串检查           
  32.   
  33.         public static bool IsPhone(string inputData)   
  34.   
  35.         {   
  36.   
  37.             Match m = RegPhone.Match(inputData);   
  38.   
  39.             return m.Success;   
  40.   
  41.         }   
  42.   
  43.         /**//// <summary>   
  44.   
  45.         /// 检查Request查询字符串的键值,是否是数字,最大长度限制   
  46.   
  47.         /// </summary>   
  48.   
  49.         /// <param name="req">Request</param>   
  50.   
  51.         /// <param name="inputKey">Request的键值</param>   
  52.   
  53.         /// <param name="maxLen">最大长度</param>   
  54.   
  55.         /// <returns>返回Request查询字符串</returns>   
  56.   
  57.         public static string FetchInputDigit(HttpRequest req, string inputKey, int maxLen)   
  58.   
  59.         {   
  60.   
  61.             string retVal = string.Empty;   
  62.   
  63.             if(inputKey != null && inputKey != string.Empty)   
  64.   
  65.             {   
  66.   
  67.                 retVal = req.QueryString[inputKey];   
  68.   
  69.                 if(null == retVal)   
  70.   
  71.                     retVal = req.Form[inputKey];   
  72.   
  73.                 if(null != retVal)   
  74.   
  75.                 {   
  76.   
  77.                     retVal = SqlText(retVal, maxLen);   
  78.   
  79.                     if(!IsNumber(retVal))   
  80.   
  81.                         retVal = string.Empty;   
  82.   
  83.                 }   
  84.   
  85.             }   
  86.   
  87.             if(retVal == null)   
  88.   
  89.                 retVal = string.Empty;   
  90.   
  91.             return retVal;   
  92.   
  93.         }           
  94.   
  95.         /**//// <summary>   
  96.   
  97.         /// 是否数字字符串   
  98.   
  99.         /// </summary>   
  100.   
  101.         /// <param name="inputData">输入字符串</param>   
  102.   
  103.         /// <returns></returns>   
  104.   
  105.         public static bool IsNumber(string inputData)   
  106.   
  107.         {   
  108.   
  109.             Match m = RegNumber.Match(inputData);   
  110.   
  111.             return m.Success;   
  112.   
  113.         }   
  114.   
  115.    
  116.   
  117.         /**//// <summary>   
  118.   
  119.         /// 是否数字字符串 可带正负号   
  120.   
  121.         /// </summary>   
  122.   
  123.         /// <param name="inputData">输入字符串</param>   
  124.   
  125.         /// <returns></returns>   
  126.   
  127.         public static bool IsNumberSign(string inputData)   
  128.   
  129.         {   
  130.   
  131.             Match m = RegNumberSign.Match(inputData);   
  132.   
  133.             return m.Success;   
  134.   
  135.         }           
  136.   
  137.         /**//// <summary>   
  138.   
  139.         /// 是否是浮点数   
  140.   
  141.         /// </summary>   
  142.   
  143.         /// <param name="inputData">输入字符串</param>   
  144.   
  145.         /// <returns></returns>   
  146.   
  147.         public static bool IsDecimal(string inputData)   
  148.   
  149.         {   
  150.   
  151.             Match m = RegDecimal.Match(inputData);   
  152.   
  153.             return m.Success;   
  154.   
  155.         }           
  156.   
  157.         /**//// <summary>   
  158.   
  159.         /// 是否是浮点数 可带正负号   
  160.   
  161.         /// </summary>   
  162.   
  163.         /// <param name="inputData">输入字符串</param>   
  164.   
  165.         /// <returns></returns>   
  166.   
  167.         public static bool IsDecimalSign(string inputData)   
  168.   
  169.         {   
  170.   
  171.             Match m = RegDecimalSign.Match(inputData);   
  172.   
  173.             return m.Success;   
  174.   
  175.         }           
  176.  
  177.   
  178.  
  179.         #endregion   
  180.   
  181.    
  182.   
  183.         //中文检测#region 中文检测   
  184.   
  185.    
  186.   
  187.         /**//// <summary>   
  188.   
  189.         /// 检测是否有中文字符   
  190.   
  191.         /// </summary>   
  192.   
  193.         /// <param name="inputData"></param>   
  194.   
  195.         /// <returns></returns>   
  196.   
  197.         public static bool IsHasCHZN(string inputData)   
  198.   
  199.         {   
  200.   
  201.             Match m = RegCHZN.Match(inputData);   
  202.   
  203.             return m.Success;   
  204.   
  205.         }       
  206.  
  207.   
  208.  
  209.         #endregion   
  210.   
  211.    
  212.   
  213.         //邮件地址#region 邮件地址   
  214.   
  215.         /**//// <summary>   
  216.   
  217.         /// 是否是浮点数 可带正负号   
  218.   
  219.         /// </summary>   
  220.   
  221.         /// <param name="inputData">输入字符串</param>   
  222.   
  223.         /// <returns></returns>   
  224.   
  225.         public static bool IsEmail(string inputData)   
  226.   
  227.         {   
  228.   
  229.             Match m = RegEmail.Match(inputData);   
  230.   
  231.             return m.Success;   
  232.   
  233.         }           
  234.  
  235.   
  236.  
  237.         #endregion   
  238.   
  239.    
  240.   
  241.         //其他#region 其他   
  242.   
  243.    
  244.   
  245.         /**//// <summary>   
  246.   
  247.         /// 检查字符串最大长度,返回指定长度的串   
  248.   
  249.         /// </summary>   
  250.   
  251.         /// <param name="sqlInput">输入字符串</param>   
  252.   
  253.         /// <param name="maxLength">最大长度</param>   
  254.   
  255.         /// <returns></returns>               
  256.   
  257.         public static string SqlText(string sqlInput, int maxLength)   
  258.   
  259.         {               
  260.   
  261.             if(sqlInput != null && sqlInput != string.Empty)   
  262.   
  263.             {   
  264.   
  265.                 sqlInput = sqlInput.Trim();                               
  266.   
  267.                 if(sqlInput.Length > maxLength)//按最大长度截取字符串   
  268.   
  269.                     sqlInput = sqlInput.Substring(0, maxLength);   
  270.   
  271.             }   
  272.   
  273.             return sqlInput;   
  274.   
  275.         }           
  276.   
  277.         /**//// <summary>   
  278.   
  279.         /// 字符串编码   
  280.   
  281.         /// </summary>   
  282.   
  283.         /// <param name="inputData"></param>   
  284.   
  285.         /// <returns></returns>   
  286.   
  287.         public static string HtmlEncode(string inputData)   
  288.   
  289.         {   
  290.   
  291.             return HttpUtility.HtmlEncode(inputData);   
  292.   
  293.         }   
  294.   
  295.         /**//// <summary>   
  296.   
  297.         /// 设置Label显示Encode的字符串   
  298.   
  299.         /// </summary>   
  300.   
  301.         /// <param name="lbl"></param>   
  302.   
  303.         /// <param name="txtInput"></param>   
  304.   
  305.         public static void SetLabel(Label lbl, string txtInput)   
  306.   
  307.         {   
  308.   
  309.             lbl.Text = HtmlEncode(txtInput);   
  310.   
  311.         }   
  312.   
  313.         public static void SetLabel(Label lbl, object inputObj)   
  314.   
  315.         {   
  316.   
  317.             SetLabel(lbl, inputObj.ToString());   
  318.   
  319.         }           
  320.   
  321.         //字符串清理   
  322.   
  323.         public static string InputText(string inputString, int maxLength)   
  324.   
  325.         {               
  326.   
  327.             StringBuilder retVal = new StringBuilder();   
  328.   
  329.    
  330.   
  331.             // 检查是否为空   
  332.   
  333.             if ((inputString != null) && (inputString != String.Empty))   
  334.   
  335.             {   
  336.   
  337.                 inputString = inputString.Trim();   
  338.   
  339.                    
  340.   
  341.                 //检查长度   
  342.   
  343.                 if (inputString.Length > maxLength)   
  344.   
  345.                     inputString = inputString.Substring(0, maxLength);   
  346.   
  347.                    
  348.   
  349.                 //替换危险字符   
  350.   
  351.                 for (int i = 0; i < inputString.Length; i++)   
  352.   
  353.                 {   
  354.   
  355.                     switch (inputString[i])   
  356.   
  357.                     {   
  358.   
  359.                         case '"':   
  360.   
  361.                             retVal.Append(""");   
  362.   
  363.                             break;   
  364.   
  365.                         case '<':   
  366.   
  367.                             retVal.Append("<");   
  368.   
  369.                             break;   
  370.   
  371.                         case '>':   
  372.   
  373.                             retVal.Append(">");   
  374.   
  375.                             break;   
  376.   
  377.                         default:   
  378.   
  379.                             retVal.Append(inputString[i]);   
  380.   
  381.                             break;   
  382.   
  383.                     }   
  384.   
  385.                 }                   
  386.   
  387.                 retVal.Replace("'"" ");// 替换单引号   
  388.   
  389.             }   
  390.   
  391.             return retVal.ToString();   
  392.   
  393.                
  394.   
  395.         }   
  396.   
  397.         /**//// <summary>   
  398.   
  399.         /// 转换成 HTML code   
  400.   
  401.         /// </summary>   
  402.   
  403.         /// <param name="str">string</param>   
  404.   
  405.         /// <returns>string</returns>   
  406.   
  407.         public static string Encode(string str)   
  408.   
  409.         {               
  410.   
  411.             str = str.Replace("&","&");   
  412.   
  413.             str = str.Replace("'","''");   
  414.   
  415.             str = str.Replace("\"",""");   
  416.   
  417.             str = str.Replace(" "," ");   
  418.   
  419.             str = str.Replace("<","<");   
  420.   
  421.             str = str.Replace(">",">");   
  422.   
  423.             str = str.Replace("\n","<br>");   
  424.   
  425.             return str;   
  426.   
  427.         }   
  428.   
  429.         /**//// <summary>   
  430.   
  431.         ///解析html成 普通文本   
  432.   
  433.         /// </summary>   
  434.   
  435.         /// <param name="str">string</param>   
  436.   
  437.         /// <returns>string</returns>   
  438.   
  439.         public static string Decode(string str)   
  440.   
  441.         {               
  442.   
  443.             str = str.Replace("<br>","\n");   
  444.   
  445.             str = str.Replace(">",">");   
  446.   
  447.             str = str.Replace("<","<");   
  448.   
  449.             str = str.Replace(" "," ");   
  450.   
  451.             str = str.Replace(""","\"");   
  452.   
  453.             return str;   
  454.   
  455.         }   
  456.   
  457.    
  458.   
  459.         public static string SqlTextClear(string sqlText)   
  460.   
  461.         {   
  462.   
  463.             if (sqlText == null)   
  464.   
  465.             {   
  466.   
  467.                 return null;   
  468.   
  469.             }   
  470.   
  471.             if (sqlText == "")   
  472.   
  473.             {   
  474.   
  475.                 return "";   
  476.   
  477.             }   
  478.   
  479.             sqlText = sqlText.Replace(",""");//去除,   
  480.   
  481.             sqlText = sqlText.Replace("<""");//去除<   
  482.   
  483.             sqlText = sqlText.Replace(">""");//去除>   
  484.   
  485.             sqlText = sqlText.Replace("--""");//去除--   
  486.   
  487.             sqlText = sqlText.Replace("'""");//去除'   
  488.   
  489.             sqlText = sqlText.Replace("\"""");//去除"   
  490.   
  491.             sqlText = sqlText.Replace("=""");//去除=   
  492.   
  493.             sqlText = sqlText.Replace("%""");//去除%   
  494.   
  495.             sqlText = sqlText.Replace(" """);//去除空格   
  496.   
  497.             return sqlText;   
  498.   
  499.         }   
  500.  
  501.         #endregion   
  502.   
  503.    
  504.   
  505.         //是否由特定字符组成#region 是否由特定字符组成   
  506.   
  507.         public static bool isContainSameChar(string strInput)   
  508.   
  509.         {   
  510.   
  511.             string charInput = string.Empty;   
  512.   
  513.             if (!string.IsNullOrEmpty(strInput))   
  514.   
  515.             {   
  516.   
  517.                 charInput = strInput.Substring(0, 1);   
  518.   
  519.             }   
  520.   
  521.             return isContainSameChar(strInput, charInput, strInput.Length);   
  522.   
  523.         }   
  524.   
  525.    
  526.   
  527.         public static bool isContainSameChar(string strInput, string charInput, int lenInput)   
  528.   
  529.         {   
  530.   
  531.             if (string.IsNullOrEmpty(charInput))   
  532.   
  533.             {   
  534.   
  535.                 return false;   
  536.   
  537.             }   
  538.   
  539.             else   
  540.   
  541.             {   
  542.   
  543.                 Regex RegNumber = new Regex(string.Format("^([{0}])+$", charInput));   
  544.   
  545.                 //Regex RegNumber = new Regex(string.Format("^([{0}]{{1}})+$", charInput,lenInput));   
  546.   
  547.                 Match m = RegNumber.Match(strInput);   
  548.   
  549.                 return m.Success;   
  550.   
  551.             }   
  552.   
  553.         }   
  554.  
  555.         #endregion   
  556.   
  557.    
  558.   
  559.         //检查输入的参数是不是某些定义好的特殊字符:这个方法目前用于密码输入的安全检查#region 检查输入的参数是不是某些定义好的特殊字符:这个方法目前用于密码输入的安全检查   
  560.   
  561.         /**//// <summary>   
  562.   
  563.         /// 检查输入的参数是不是某些定义好的特殊字符:这个方法目前用于密码输入的安全检查   
  564.   
  565.         /// </summary>   
  566.   
  567.         public static bool isContainSpecChar(string strInput)   
  568.   
  569.         {   
  570.   
  571.             string[] list = new string[] { "123456""654321" };   
  572.   
  573.             bool result = new bool();   
  574.   
  575.             for (int i = 0; i < list.Length; i++)   
  576.   
  577.             {   
  578.   
  579.                 if (strInput == list[i])   
  580.   
  581.                 {   
  582.   
  583.                     result = true;   
  584.   
  585.                     break;   
  586.   
  587.                 }   
  588.   
  589.             }   
  590.   
  591.             return result;   
  592.   
  593.         }   
  594.  
  595.         #endregion   
  596.   
  597.     }   
  598.   
  599.    


失效的访问控制


Broken Access Control

大部分企业都非常关注对已经建立的连接进行控制,但是,允许一个特定的字符串输入可以让攻击行为绕过企业的控制。

解决方案:

采用Atho2的方式对用户身份进行验证;将AccessToken  保存到Cookie里面;设置Cookie失效策略;

当然在分布架构下面;需要用户集中式Redis集群管理用户Session,而在应用级是无状态的。

失效的账户和线程管理


Broken Authentication and Session Management

有良好的访问控制并不意味着万事大吉,企业还应该保护用户的密码、会话令牌、账户列表及其它任何可为攻击者提供有利信息、能帮助他们攻击企业网络的内容。

跨站点脚本攻击


Cross Site Scripting Flaws

这是一种常见的攻击,当攻击脚本被嵌入企业的Web页面或其它可以访问的Web资源中,没有保护能力的台式机访问这个页面或资源时,脚本就会被启动,这种攻击可以影响企业内成百上千员工的终端电脑。
解决方案:要在可能的输入项中过滤所有

缓存溢出问题


Buffer Overflows

这个问题一般出现在用较早的编程语言、如C语言编写的程序中,这种编程错误其实也是由于没有很好地确定输入内容在内存中的位置所致。

注入式攻击


Injection Flaws

如果没有成功地阻止带有语法含义的输入内容,有可能导致对数据库信息的非法访问,在Web表单中输入的内容应该保持简单,并且不应包含可被执行的代码。
解决方案:

1、要使用服务端的可能带来的服务SQL注入的地方进行验证;

2、涉及SQL语句查询是使用SQL变量(强烈推荐)

3、用通用的方法检验是否存在特殊字符

[csharp]  view plain  copy
  1. namespace YQSH.EIMS  
  2. {  
  3.     using System;  
  4.     public class SqlPourInto  
  5.     {  
  6.         private System.Collections.Specialized.NameValueCollection Param;  
  7.         public SqlPourInto(System.Collections.Specialized.NameValueCollection param)  
  8.         {  
  9.             this.Param = param;  
  10.         }  
  11.   
  12.         public bool HandleParam()  
  13.         {  
  14.             if (Param.Count == 0)  
  15.                 return true;  
  16.             for (int i = 0; i < Param.Count; i++)  
  17.                 if (!IsSafeString(Param[i].ToString()))  
  18.                     return false;  
  19.             return true ;  
  20.         }  
  21.         public bool IsSafeString(string strText)  
  22.         {  
  23.             bool bResult = true;  
  24.             strText = System.Text.RegularExpressions.Regex.Replace(strText, "(<[b|B][r|R]/*>)+|(<[p|P](.|\\n)*?>)""\n");    //<br>  
  25.             string[] UnSafeArray = new string[23];  
  26.             UnSafeArray[0] = "'";  
  27.             UnSafeArray[1] = "xp_cmdshell ";  
  28.             UnSafeArray[2] = "declare ";  
  29.             UnSafeArray[3] = "netlocalgroupadministrators ";  
  30.             UnSafeArray[4] = "delete ";  
  31.             UnSafeArray[5] = "truncate ";  
  32.             UnSafeArray[6] = "netuser ";  
  33.             UnSafeArray[7] = "add ";  
  34.             UnSafeArray[8] = "drop ";  
  35.             UnSafeArray[9] = "update ";  
  36.             UnSafeArray[10] = "select ";  
  37.             UnSafeArray[11] = "union ";  
  38.             UnSafeArray[12] = "exec ";  
  39.             UnSafeArray[13] = "create ";  
  40.             UnSafeArray[14] = "insertinto ";  
  41.             UnSafeArray[15] = "sp_ ";  
  42.             UnSafeArray[16] = "exec ";  
  43.             UnSafeArray[17] = "create ";  
  44.             UnSafeArray[18] = "insert ";  
  45.             UnSafeArray[19] = "masterdbo ";  
  46.             UnSafeArray[20] = "sp_ ";  
  47.             UnSafeArray[21] = ";-- ";  
  48.             UnSafeArray[22] = "1= ";  
  49.             foreach (string strValue in UnSafeArray)  
  50.             {  
  51.                 if (strText.ToLower().IndexOf(strValue) > -1)  
  52.                 {  
  53.                     bResult = false;  
  54.                     break;  
  55.                 }  
  56.             }  
  57.             return bResult;  
  58.         }  
  59.     }  
  60. }  


异常错误处理


Improper Error Handling

当错误发生时,向用户提交错误提示是很正常的事情,但是如果提交的错误提示中包含了太多的内容,就有可能会被攻击者分析出网络环境的结构或配置。
解决方案:Web.config,中将错误配置:

[html]  view plain  copy
  1. <customErrors mode="RemoteOnly">  
  2.      <error statusCode="403" redirect="NoAccess.htm" />  
  3.      <error statusCode="404" redirect="FileNotFound.htm" />  
  4. </customErrors>  


不安全的存储


Insecure Storage

对于Web应用程序来说,妥善保存密码、用户名及其他与身份验证有关的信息是非常重要的工作,对这些信息进行加密则是非常有效的方式,但是一些企业会采用那些未经实践验证的加密解决方案,其中就可能存在安全漏洞。
解决方案:对于密码可以采用2次的MD5加密,并验证密码得复杂程度。

程序拒绝服务攻击


Application Denial of Service

与拒绝服务攻击 (DoS)类似,应用程序的DoS攻击会利用大量非法用户抢占应用程序资源,导致合法用户无法使用该Web应用程序。

解决方案

Ddos攻击解决方案

代码解决方案:

[csharp]  view plain  copy
  1. 解决方案:  
  2. 1、避免XSS的方法之一主要是将用户所提供的内容输入输出进行过滤。ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library。  
  3. 2、整体网站的过滤处理,下面是通用处理方法。  
  4.    
  5. public class safe_process  
  6.     {  
  7.         private const string StrRegex = @"<[^>]+?style=[\w]+?:expression\(|\b(alert|confirm|prompt)\b|^\+/v(8|9)|<[^>]*?=[^>]*?&#[^>]*?>|\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|/\*.+?\*/|<\s*script\b|<\s*img\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";  
  8.         public static bool PostData()  
  9.         {  
  10.             bool result = false;  
  11.             for (int i = 0; i < HttpContext.Current.Request.Form.Count; i++)  
  12.             {  
  13.                 result = CheckData(HttpContext.Current.Request.Form[i].ToString());  
  14.                 if (result)  
  15.                 {  
  16.                     break;  
  17.                 }  
  18.             }  
  19.             return result;  
  20.         }  
  21.    
  22.         public static bool GetData()  
  23.         {  
  24.             bool result = false;  
  25.             for (int i = 0; i < HttpContext.Current.Request.QueryString.Count; i++)  
  26.             {  
  27.                 result = CheckData(HttpContext.Current.Request.QueryString[i].ToString());  
  28.                 if (result)  
  29.                 {  
  30.                     break;  
  31.                 }  
  32.             }  
  33.             return result;  
  34.         }  
  35.    
  36.         public static bool CookieData()  
  37.         {  
  38.             bool result = false;  
  39.             for (int i = 0; i < HttpContext.Current.Request.Cookies.Count; i++)  
  40.             {  
  41.                 result = CheckData(HttpContext.Current.Request.Cookies[i].Value.ToLower());  
  42.                 if (result)  
  43.                 {  
  44.                     break;  
  45.                 }  
  46.             }  
  47.             return result;  
  48.         }  
  49.         public static bool referer()  
  50.         {  
  51.             bool result = false;  
  52.             return result = CheckData(HttpContext.Current.Request.UrlReferrer.ToString());  
  53.         }  
  54.         public static bool CheckData(string inputData)  
  55.         {  
  56.   
  57. if (Regex.IsMatch(inputData, StrRegex))  
  58.             {  
  59.                 return true;  
  60.             }  
  61.             else  
  62.             {  
  63.                 return false;  
  64.             }  
  65.         }  
  66.     }  
  67. 在Global.asax中的Application_BeginRequest中调用上面的方法进行处理,代码如下:  
  68. protected void Application_BeginRequest(Object sender, EventArgs e)  
  69.   {  
  70.             string q = "<div style='position:fixed;top:0px;width:100%;height:100%;background-color:white;color:green;font-weight:bold;border-bottom:5px solid #999;'><br>您的提交带有不合法参数!</div>";  
  71.             if (Request.Cookies != null)  
  72.             {  
  73.                 if (SteelMachining.Common.safe_360.CookieData())  
  74.                 {  
  75.                     Response.Write(q);  
  76.                     Response.End();  
  77.                 }  
  78.             }  
  79.    
  80.             if (Request.UrlReferrer != null)  
  81.             {  
  82.                 if (SteelMachining.Common.safe_360.referer())  
  83.                 {  
  84.                     Response.Write(q);  
  85.                     Response.End();  
  86.                 }  
  87.             }  
  88.    
  89.             if (Request.RequestType.ToUpper() == "POST")  
  90.             {  
  91.                 if (SteelMachining.Common.safe_360.PostData())  
  92.                 {  
  93.    
  94.                     Response.Write(q);  
  95.                     Response.End();  
  96.                 }  
  97.             }  
  98.             if (Request.RequestType.ToUpper() == "GET")  
  99.             {  
  100.                 if (SteelMachining.Common.safe_360.GetData())  
  101.                 {  
  102.                     Response.Write(q);  
  103.                     Response.End();  
  104.                 }  
  105.             }  
  106.   }  


不安全的配置管理


Insecure Configuration Management

有效的配置管理过程可以为Web应用程序和企业的网络架构提供良好的保护。

不安全的网络传输

解决方案:对敏感数据进行加密

                  采用安全的传输通道(专网,或者VPN)

                   采取加密协议如Https

网络数据伪造

                 采取数据加密认证

网络篡改

                 采取数据认证

hxand涣铉
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
asp.net网站毕业设计
04-29
总结,这个ASP.NET商务网站毕业设计是一个典型的Web应用项目,涵盖了前端展示、后端逻辑和数据库管理,体现了ASP.NET框架的强大功能,同时也展示了C#语言在Web开发中的应用。通过这样的实践,学生不仅能掌握技术知识...
HUAWEI构建安全网络架构工程师培训上机指导书
10-08
本手册用于指导学员学习华为安全产品的配置和部署技术,学员可以通过教材的实验说明, 掌握本手册中的实验内容。
ASPNET安全性高级编程 第六章 ASP.NET安全架构
01-09 2208
ASP.NET安全架构的主要功能身份验证和授权.NET授权提供者安全上下文中的标识和主体身份验证模块如何运行授权模块如何运行1.身份验证Windows身份验证窗体身份验证Passport身份验证自定义身份验证过程2授权基于角色的授权身份验证和授权的区别:身份验证是揭示用户标识的过程,而授权则是确定用户访问特权的过程。3假冒4综合运用所有功能当用户首次访问 web站点时他们是匿名用户。当用户请求非安
.NET 网站安全问题
qq_43556517的博客
07-02 545
Cookie Secure Attribute Description If the secure flag is set on a cookie, then browsers will not submit the cookie in any requests that use an unencrypted HTTP connection, thereby preventing the cookie from being trivially intercepted by an attacker monit
常见的网站架构种类
m0_64940610的博客
06-03 1542
4.VUE+JAVA 适用于大型机构或企业 一般用于升级OA系统、银行、医疗、政府网站 网站拥有量在15%左右 特点:采用前后端分离技术 可以实现页面伪静态 隐藏参数传递 提高网站安全性。适用于大型机构或企业 一般用于建设OA系统、银行、医疗、政府网站 特点:跨平台、安全性高、分布式 网站拥有量在20%左右。WEB服务器系统: Window 2003/2008/2016 CentOS7.0。数据库服务器系统: Window 2003/2008/2016 CentOS7.0。
大型网站技术架构(八)--网站的安全架构
星空的专栏
06-16 7624
大型网站技术架构(一)--大型网站架构演化 大型网站技术架构(二)--架构模式 大型网站技术架构(三)--架构核心要素 大型网站技术架构(四)--网站的高性能架构 大型网站技术架构(五)--网站高可用架构
基于asp.net购物网站设计与实现.docx
最新发布
11-20
【基于ASP.NET的购物网站设计与实现】 随着互联网技术的飞速发展,电子商务已经成为现代商业不可或缺的一部分。国内的网络购物平台如雨后春笋般涌现,消费者越来越倾向于在线购物,而商家为了满足日益增长的市场...
ASP.NET Web应用程序常见网络安全漏洞解决方案分析.pdf
09-19
ASP.NET Web应用程序常见网络安全漏洞解决方案分析.pdf
基于.NET三层架构.doc
01-12
.NET三层架构是一种软件开发模型,通常用于构建大型企业级应用程序,以实现良好的代码组织和...通过SQL Server 2005进行数据管理,采用B/S架构提供网络访问,结合.NET框架的开发优势,实现了一套完整的管理信息系统。
大型分布式网站(六)网站安全架构
11-14
群分享:大型分布式网站(六)网站安全架构.docx
巨献:Oracle安全解决方案全套资料,共7个文件
08-08
甲骨文安全解决方案全套资料: Oracle 数据库 11g 透明数据加密.pdf 安全及身份管理的主要业务范畴.pdf 保护企业应用程序和用户 - 基于角色的身份管理和欺诈防范.pdf 确保数据隐私与法规遵从并预防内部威胁.pdf 如何使您的企业应用更安全.pdf 使用 Oracle Audit Vault 审计数据库活动,确保安全性和合规性.pdf 针对应用安全性与法规遵从的数据库控制.pdf
网络安全架构:安全架构公理
cavalier的学习之路
07-18 2895
当这样做时,其实是在说,我们可以信任操作这类对象的人员,或可被操作这类对象的人员所信任。但是,如果为了节省时间和精力,将安全系统重用于不同的用例,则需要针对这两个用例之间的差异,进行新的风险分析。因为风险无法分为孤立的架构域,所以安全架构师必须同时从所有视角看到山谷,即拥有可以随意旋转的全息视图。不可能强迫市场将高级安全性集成到IoT设备中,因为这是一种市场驱动的现象,受成本和收益的感知驱动,但是。来分解高度复杂的SOI(系统收益),从最高级别的业务目标开始,并创建逐渐简化的SOI层次,并对其逐层解决。..
ASP.NET网站网络安全
竹君子之家
09-01 1967
  一、网络安全性1.程序以外:(1)配置防火墙(2)定期备份转储数据库文件和日志文件; (3)服务器使用安全性较好的Windows2003 Server操作系统和IIS6.0(4) 虚拟路径的设置:不同用户对不同目录访问权限不同,可以设定虚拟目录来实现(5)用户登陆使用验证码(6)尽可能安装软件的最新服务包和修补程序;(7) SQL   Server2000数据库
.NET应用程序安全操作概述
farway000的博客
11-27 919
介绍此页面旨在为开发人员提供.NET安全提示。.NET Framework.NET Framework是Microsoft用于企业开发的主要平台。它是ASP.NET,Windows桌面应...
常见的Web应用攻击手段
qq_43005544的博客
02-21 868
常见的Web应用攻击手段 1.XSS攻击 XSS攻击即跨站点脚本攻击(Cross Site Script),指黑客通过篡改网页,注入恶意HTML脚本,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。 分类 1.1 反射型 攻击者诱使用户点击一个嵌入恶意脚本的链接,达到攻击的目的 1.2 持久型 黑客提交含有恶意脚本的请求,保存在被攻击的Web站点的数据库中,用户浏览网页时,恶意脚本被包含在正常页面中,达到攻击的目的 防护手段 1.3消毒 XSS攻击者一般都是通过在请求中嵌入恶意脚
.Net网站架构设计(一)架构概念内容
liming850628的专栏
02-23 2345
一、什么是互联网架构 二、互联网架构的目标     架构的核心目标:高可用,易扩展,高性能,安全性      涉及到内容:研发、测试、实施、监控 三、一个网站的架构演变。     Window+IIS+SQLServer     1、简单的Web     IIS 和 Serversql 在一台服务器上面;     瓶颈     首先出在SQLserver数据
安全架构总体方案
热门推荐
leveretz的博客
11-23 2万+
信息安全是保证大数据平台安全稳定运行的关键,需要建设完善的信息安全主动防御体系和信息安全治理体系。大数据平台信息安全将遵循相关安全规范和安全策略,总体安全防护方案参照等级保护第三级系统安全要求进行设计(其等级将根据等级保护定级最终结果确定)。 1.1.1.   应用安全 应用安全从身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制和代码安全等几方面考
CTF网络安全大赛培训
09-02
CTF网络安全大赛培训主要面向学生、零安全基础、新手、测试转安全、开发转安全、运维转安全、安服转安全以及对网络安全比较感兴趣的同学。这种培训通常涵盖了一系列的题目类型,包括Web渗透、RE逆向、Misc杂项、PWN二进制漏洞利用、Crypto密码破译等等。通过参加这样的大赛培训,学生可以通过赛项检验网络组建、安全架构和网络安全运维管控等方面的技术技能,同时也能够培养团队协作和创新能力,提升职业能力和就业竞争力。这种大赛培训通过引领专业教学,为学生提供了实践动手的机会,让他们能够在实践中学习并应用所学的知识和技能。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [零基础+进阶系统化渗透测试工程师+CTF网络安全大赛学习指南](https://blog.csdn.net/fengzheng126/article/details/118439238)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [入门网络安全必备CTF题型介绍](https://blog.csdn.net/Hack0812/article/details/128070882)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [网络信息安全-培训(中高职业院校)](https://download.csdn.net/download/qq_48609816/87316302)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值