【代码审计-.NET】基于.NET框架开发的基本特征

已于 2023-01-06 15:55:34 修改
阅读量5.7k 收藏 6
点赞数 3
分类专栏: 0X05【代码审计】 文章标签: .net web安全 安全
于 2022-12-10 10:28:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53079406/article/details/128257403
版权

 

前言:

介绍: 

博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。

殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。

擅长:对于技术、工具、漏洞原理、黑产打击的研究。

C站缘:C站的前辈,引领我度过了一个又一个技术的瓶颈期、迷茫期。

导读:

面向读者:对于网络安全方面的学者。 

本文知识点(读者自测): 

(1).NET基本架构(√)

(2)工具(√)

 让读者如虎添翼

审计博文类型状态
【代码审计-PHP】phpStudy(新版) + PhpStorm + XDebug动态调试PHP已发布
【代码审计-PHP】审计方法、敏感函数、功能点PHP已发布
【代码审计-PHP】基于Thinkphp框架开发的PHP已发布
【代码审计-.NET】基于.NET框架开发的基本特征

.NET

已发布
【代码审计-.NET】基于.NET框架开发的代码审计.NET已发布
【代码审计-JAVA】基于javaweb框架开发的JAVA已发布
【代码审计-JAVA】javaweb代码审计思路JAVA已发布
2023将更新更多,敬请期待————

目录

一、.NET基本架构

1、基本构成

2、可支持语言

3、封装

4、文件

5、指向解析

6、安全认证

二、工具

 1、ILSpyi

2、dnSpy  

3、Reflector

一、.NET基本架构

1、基本构成

可支持语言,CLS,模板框架,基本模板,基本操作,基本类库,公共需要运行时,CTS和CLS,OS等;

2、可支持语言

.NET框架可支持vb.net,c++,c#,F#,js等语言开发(主要vb.net,c++)

3、封装

隐藏内部细节、包留对外接口

4、文件

1、.aspx:动态网页代码(aspx文件是微软的在通过IIS解析执行后的动态网页文件,而不像静态的html文件)服务器端的动作就是在.cs定义的

2、.cs:就是C#语言源代码文件,是后台代码文件,也可以称为类(cs源文件会被转换成dll文件,保护源代码,并可对外开放接口,供他人使用)

3、.ashx:一般处理程序(HttpHandler)是·NET众多web组件的一种,ashx是其扩展名。主要用于写web handler,可以理解成不会显示的aspx页面

4、.dll:cs文件编译之后的程序集(是一个包含可由多个程序,同时使用的代码和数据的库)

5、指向解析

(即调用的封装的程序集等,根据指向再去反编译程序集)

1、Inherits
解释:定义供页继承的代码隐藏类。 它可以是从 Page 类派生的任何类。 此特性与 CodeFile 特性一起使用,后者包含指向代码隐藏类的源文件的路径。 Inherits 特性在使用 C# 作为页面语言时区分大小写,而在使用 Visual Basic 作为页面语言时不区分大小写。

2、CodeFile
解释:指定指向页引用的代码隐藏文件的路径。 此特性与 Inherits 特性一起使用,用于将代码隐藏源文件与网页相关联。 此特性仅对编译的页有效。

3、Codebehind
解释:指定包含与页关联的类的已编译文件的名称。 该特性不能在运行时使用。此特性用于 Web 应用程序项目。

——以上解释出自:msdn《微软开发者网络》

6、安全认证

二、工具

 1、ILSpyi

Releases · icsharpcode/ILSpy (github.com)

(还一直在更新,推荐使用这个) 

2、dnSpy  

Releases · dnSpy/dnSpy (github.com)

3、Reflector

网上下载网站可以下载到

Reflector下载免费版_.NET Reflector(.NET反编译工具下载)绿色免费版11.1 - 系统之家 (xitongzhijia.net)

网络安全三年之约

First year 

掌握各种原理、不断打新的靶场

目标:edusrc、cnvd 

主页 | 教育漏洞报告平台 (sjtu.edu.cn)https://src.sjtu.edu.cn/https://www.cnvd.org.cnhttps://www.cnvd.org.cn/

second year 

不断学习、提升技术运用技巧,研究各种新平台

开始建立自己的渗透体系

目标:众测平台、企业src应急响应中心 

众测平台URL
漏洞盒子漏洞盒子 | 互联网安全测试众测平台
火线安全平台火线安全平台
漏洞银行BUGBANK 官方网站 | 领先的网络安全漏洞发现品牌 | 开放安全的提出者与倡导者 | 创新的漏洞发现平台
360漏洞众包响应平台360漏洞云漏洞众包响应平台
补天平台(奇安信)补天 - 企业和白帽子共赢的漏洞响应平台,帮助企业建立SRC
春秋云测首页
雷神众测(可信众测,安恒)雷神众测 - BountyTeam
云众可信(启明星辰)云众可信 - 互联网安全服务引领者
ALLSECALLSEC
360众测360众测平台
看雪众测(物联网)https://ce.kanxue.com/
CNVD众测平台网络安全众测平台
工控互联网安全测试平台CNCERT工业互联网安全测试平台
慢雾(区块链)Submit Bug Bounty - SlowMist Zone - Blockchain Ecosystem Security Zone
平安汇聚http://isrc.pingan.com/homePage/index

互联网大厂URL
阿里https://asrc.alibaba.com/#/
腾讯https://security.tencent.com/
百度https://bsrc.baidu.com/v2/#/home
美团https://security.meituan.com/#/home
360https://security.360.cn/
网易https://aq.163.com/
字节跳动https://security.bytedance.com/
京东https://security.jd.com/#/
新浪http://sec.sina.com.cn/
微博https://wsrc.weibo.com/
搜狗http://sec.sogou.com/
金山办公https://security.wps.cn/
有赞https://src.youzan.com/

Third Year 

学习最新的知识,建全自己的渗透体系

目标:参与护网(每一个男孩子心中的梦想) 

时间:一般5月面试,6/7月开始(持续2-3周)

分类:国家级护网、省级护网、市级护网、重大节日护网(如:建党、冬奥等)

黑色地带(崛起)
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
NET框架程序设计-第1章.NET框架开发平台体系架构
用来学习的地方
05-29 1843
(比如所定义的类型和它们的成员),另外还有一些用于描述托管模块中。
aspx代码审计-1
dfdhxb995397的博客
09-20 239
今天和大家分享一下aspx网站的代码审计,漏洞类型就是SQL注入和cookie欺骗。 本文作者:i春秋签约作家——非主流 今天看的cms名字叫做:XX星员工请假系统 我们首先看一下网站的目录结构: 其中,很明显可以看到bin目录下面都是dll文件,也就是aspx网站的源码;install目录就是安装目录;admin目录就是后台目录…etc。 我们今天的目标是纯白盒审计,...
代码审计-ASP.NET项目-未授权访问漏洞
xiaoheizi的博客
08-13 1984
Inherits msdn解释:定义提供给页继承的代码隐藏类。 它可以是从 Page 类派生的任何类。 此特性与 CodeFile 特性一起使用,后者包含指向代码隐藏类的源文件的路径。 Inherits 特性在使用 C# 作为页面语言时区分大小写,而在使用 Visual Basic 作为页面语言时不区分大小写。
asp.net审计项目管理系统VS开发sqlserver数据库web结构c#编程Microsoft Visual Studio
qq_251836457的博客
06-11 853
asp.net审计项目管理系统 是一套完善的web设计管理系统,系统具有完整的源代码和数据库,系统主要采用B/S模式开发开发环境为vs2010,数据库为sqlserver2008,使用c#语言 开发
基于.Net项目实施管理系统设计与实现
毕业作品网站
09-18 518
基于Restful API的项目实施管理系统的实现原理非常清晰,其主要目的是实现项目实施的进度管理,其次附带一些辅助性的功能,其目的是提高用户的用户体验以及应用程序的多元化、丰富应用程序的内涵、充实应用程序的内容。鉴于本系统是基于数据库的基础之上建立的,因此有一个健壮完善的数据库尤为重要,而设计一个健壮优秀的数据库最重要的就是数据库概念结构设计,可以说数据库的概念结构设计将会影响后期的数据库性能以及系统的性能,以下通过实体E-R图简述各个表的结构层次。6.2.3 本地IIS目标IP发布 38。
MF00685-.Net Core微服务分布式开发框架源码.zip
08-13
.Net Core微服务分布式开发框架源码 开发语言 : C# 数据库 : MySQL 开发工具 : VS2019 源码类型 : WebForm 注意:不带技术支持,有帮助文件,虚拟商品,发货不退,看好再拍。 一个轻量级的完全可以落地的微服务/...
基于DDD的ASP.NET开发框架ABP模板
09-07
**基于DDD的ASP.NET开发框架ABP模板** ASP.NET Boilerplate Project(ABP),作为一个强大的开发框架,旨在简化基于领域驱动设计(DDD)的ASP.NET应用程序的构建过程。该框架结合了最佳实践和常见模式,提供了高效...
asp.net基于工作流引擎的系统框架设计开发(源代码+论文).zip
01-07
ASP.NET是一种由微软开发的用于构建Web应用程序的框架,它基于.NET Framework,提供了一种高效、易用且功能丰富的环境来开发动态网站、web服务和应用程序。本项目着重讨论的是如何利用ASP.NET来构建一个基于工作流...
asp.net基于工作流引擎的系统框架设计开发(源代码+论文).rar
04-05
在这个基于工作流引擎的系统框架设计开发项目中,我们看到的是如何利用ASP.NET技术与工作流引擎结合,来创建一个高效、可扩展的企业级解决方案。工作流引擎是系统的核心,它负责管理和执行一系列业务流程,使得复杂...
计算机毕业设计-asp.net基于工作流引擎的系统框架设计开发(源代码+LW).zip
最新发布
06-14
本文将详细解析“计算机毕业设计-asp.net基于工作流引擎的系统框架设计开发(源代码+LW)”这一主题,该资源包括项目部署视频、源码、LW、开题报告等多个组成部分,确保了学生在实际操作和理论理解上的全方位学习。...
asp代码审计
08-04
asp代码审计
Asp代码审计
05-04
代码审计实例
审计跟踪系统c#
04-11
一个简单的审计跟踪系统,通过键盘钩子进行键盘进程监控,还有主机进程监控。
Seay源代码审计系统2.0安装源码
07-31
这是一款结合白盒跟黑盒的半自动化代码安全审计系统。 该版本只支持PHP,近期会加上ASPX、ASP、JSP的代码审计功能,并且实现4套规则的配置,另外还会加上自定义审计的扩展名,方便灵活审计不同脚本代码。 由于一直都比较忙,所有写的时候比较急,有很多代码还有很大的优化空间,在以后的日子我会慢慢来优化,也欢迎大家一起来优化。 修改本源码请保留最终版权Seay。 BUG反馈+规则共享+插件共享,请发送到邮箱root@cnseay.com,我会集成在下一个版本。 历史版本: 2013年7月15日 Seay源代码审计系统2.0 1.增加mysql执行监控,可以监控自定义断点后执行的所有SQL语句,方便调试SQL注入 2.更换在线升级,安装好之后下次更新可以直接在线升级,无需重新安装 3.更换皮肤,去除图片优化程序速度 4.更换mysql管理系统为HeidiSql 2013年6月18日 Seay源代码审计系统1.1 1.审计规则禁用 2.审计进度显示 3.优化正则调试、编码转换输入框 4.优化信息泄露插件扫描模式 5.修复代码查看处的一个bug 2013年6月8日 Seay源代码审计系统1.0 开发新功能: 1.高精确度自动白盒审计 2.代码高亮 3.函数查询 4.代码调试 5.函数/变量定位 6.审计报告 7.自定义规则 8.自定义编辑器 9.mysql数据库管理 10.黑盒敏感信息泄露一键审计 11.正则调试 12.多种字符编码转换 13.临时记录(可保存) 14.编辑保存文件 15.自动升级检测 16.POST数据包提交 17.自定义插件扩展功能 18.英汉互译
.NET 各种框架
anjie3037的博客
09-28 347
基于.NET平台常用的框架整理 分布式缓存框架: Microsoft Velocity:微软自家分布式缓存服务框架。 Memcahed:一套分布式的高速缓存系统,目前被许多网站使用以提升网站的访问速度。 Redis:是一个高性能的KV数据库。它的出现很大程度补偿了Memcached在某些方面的不足。 EnyimMemcached:访问Memcached最优秀的.NET客户端,...
开发语言之一-.net语言
Alex3454731090的博客
07-07 991
它包含了一组工具和编辑器,用于创建、调试和部署应用程序。ASP.NETASP.NET是一个用于创建Web应用程序的框架,它基于.NET Framework,并提供了许多功能和工具,用于创建和部署Web应用程序。.NET API:.NET API是.NET Framework提供的一组应用程序编程接口(API),它包含了大量的类和方法,用于创建和管理应用程序。.NET Framework:.NET Framework是.NET语言的一种运行时环境,它包含了许多类库和工具,用于开发和管理.NET应用程序。
基于.net的应用开发技术-上机四
qq_61727355的博客
08-10 724
题目一:创建一个窗体程序,当程序一开始执行的时候,窗体必须显示在屏幕的正中央,以“测试窗体”为窗体的标题,外观固定且无法改变大小。题目二:模拟书籍销售系统,在一个窗体上设置一个ListBox控件和一个ComboBox控件,一个删除按钮。题目三:创建一个窗体程序,窗体的控件如图1所示,其中水产、佐料是GroupBox控件,提交后选择的内容显示在文本框中;题目四:设计一个如图2所示的多文档界面,单击菜单中的不同选项,实现子窗体在主窗体中的三种不同排列方式,以及实现关闭窗体的功能。Java 2程序设计。.....
基于.net办公管理信息系统的设计与实现
weixin_40228600的博客
04-01 2001
目 录 摘要: II Abstract: III 1引言 1 1.1办公管理信息系统的发展现状 1 1.2课题来源 2 1.3本课题研究的目的和意义 2 1.4论文的主要内容及章节安排 3 2开发工具和相关技术简介 4 2.1开发工具简介 4 2.2 开发语言及相关技术介绍 4 3办公管理信息系统需求分析及系统架构设计 7 3.1业务流程图 7 3.2 需求分析 7 3.3系统架构设计 8 4办公管理信息系统的数据库设计 10 4.1数据库的基本概念及设计方法 10 4.2数据库逻辑结构设计 11 4.3数
.net 软件开发模式——三层架构
2203_75593971的博客
06-08 6197
需要注意的是,不同的数据访问技术和开发框架通常有不同的 SqlHelper 实现方式,例如在 ASP.NET 中,我们通常使用 SqlHelper 类来访问 SQL Server 数据库,而在 Entity Framework 中,我们可以使用 DbContext 来管理数据访问逻辑,或者使用 LINQ 表达式来查询数据。1.查询操作返回的是DataTable 是一个 C# 中的数据表格类,它代表了一个内存中的数据表格,提供了一种方便的方法来存储和操作数据。下面分别介绍在 .NET 中如何实现这三层架构。
SqlSugar帮助文档
02-29
SqlSugar帮助文档

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑色地带(崛起)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值