.Net开发人员常犯的6大安全过错脚本之家sina - 凯时娱乐

.Net开发人员常犯的6大安全过错脚本之家sina

2019-02-01 10:31:33 | 作者: 昊嘉 | 标签: 开发人员,应用程序,用户 | 浏览: 2055

  微软现已为.Net环境添加了很多的功用,协助开发人员创立安全的应用程序,例如,身份验证现已成为开发环境集成的一个功用,别的,默许情况下调试音讯被禁用掉了。微软对安全的重视程度极大地影响了开发人员,促进他们在软件开发过程中从头评价归入安全保证的重要性。

  但惋惜的是不是每个人都能做得很好,据来自SPI Dynamics公司的客户效劳记载显现,.Net开发人员常犯以下6大安全过错:

  1、在开发过程中没有考虑安全

  假如在整个应用程序开发过程中做到了安全地编码,将会使开发周期和本钱减小到最低。此外,安全开发实践将会使应用程序更安稳,过错更少,但假如不考虑安全,直到产品生命周期中的QA或用户检验阶段才考虑安全性,很可能会导致返工,推迟交给,终究导致本钱超标。

  2、SQL注入

  SQL注入就是向应用程序提交非开发人员原意的SQL代码,这些SQL代码往往具有阴恶的意图,假如Web应用程序把关不严,它们将传递给数据库,数据库一般是无法辨认SQL是否具有歹意,它只管履行接收到的指令。

  例如,当开发人员没有维护潜在的歹意输入字符(`)时,进犯者就能够假造SQL字符串,使体系和应用程序的拜访权直接露出给进犯者。

  3、跨站脚本进犯

  跨站脚本是由用户输入发作的,回来给用户有用的信息,在动态生成的网页显现没有通过验证的输入时就可能发作跨站脚本进犯(也被称为XSS或CSS),这样进犯者能够在生成的页面中刺进歹意Javascript代码,只需用户拜访了该页面,他运用的机器就会履行歹意Javascript代码。

  进犯者运用跨站脚本进犯可能会取得一些秘要信息,操作或盗取Cookie,为有用的用户创立一个过错恳求,或在终究用户体系上履行歹意代码。

  4、运用用户输入作为文件名

  开发人员常常运用一个参数断定哪些文件应该显现给终究用户。如:myPageGenerator.aspx?Template=Welcome.html。

  假如运用这种功用,要害是要保证恳求的文件在正确的文件夹中,进犯者能够修正查询字符串拜访本不能拜访到的文件。

  进犯者示例:myPageGenerator.aspx?Template=../../../../../../boot.ini。

  5、不当地运用Cookie和躲藏参数

  开发人员常常会在Cookie和躲藏参数中存储信息,Cookie是从效劳器发送给客户端浏览器HTTP音讯头中的一段信息,躲藏参数是在HTML表单中躲藏的控件称号和值,许多Web效劳器运用Cookie存储会话令牌和其它根据会话的令牌。

  常见的过错包含将产品定价,信誉卡号码,帐户和其它要害信息存储在Cookie和躲藏参数中。开发人员有必要记住,进犯者能够很简单修正Cookie。

  6、在Web.config文件中敞开调试选项

  Web.config文件的部分设置.Net应用程序怎么处理过错,应用程序不应该将具体的过错信息显现给终究用户,相反,应该显现一个“友爱的”音讯给用户,指出网站遇到技能困难正在处理,不要显现任何技能细节信息。进犯者能够从过错信息中取得很多有用的信息,在ASP.NET应用程序中敞开具体过错音讯是最大的安全问题。

  下表显现了有用的设置:

  描绘摘自Visual Studio .Net默许发作的Web.config文件。

  总结

  不管安全漏洞是否被揭露,进犯者能拜访你的敏感数据是现实,应该引起公司、股东和最重要的,你的客户的高度重视。SPI Dynamics发现,大多数公司谈到本身应用程序的安全问题时都很慎重,看来应用程序安全问题在未来一段时间内仍将会是进犯者的首选方针。

版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表凯时娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章