在asp.net中防止注入攻击[翻译]

出处: msdn
翻译:云中城 blog

应用范围:

asp .net vertion 1.1
asp .net vertion 2.0

概要:

文本主要介绍如何校验用户输入从而防止注入式攻击.校验用户输入是非常必要的,几乎所有程序级的攻击都包含恶意输入的手段.

你应该校验包括字段,查询字串参数,cookie等一切用户输入项来保护你的程序免受注入攻击.你得假设所有的用户输入都是恶意的,确保在服务器端对所有的用户输入进行校验.使用基于客户端的验证可以减少页面的住返次数,改进性能,改善用户体验,但是不要仅仅依赖于此,因为客户端的验证很容易就可以被黑客骗过去.

为了验证输入内容,你应该为每一个输入字段定义可接受的输入规则.比较好的作法是从输入字段的长度,范围,格式,类型来作约束.使用可接受的字符约束列表而不是非法字符列表来约束输入.使用非法字符列表约束的方式不好,是因为你几乎不可能过滤所有的有害输入.

如果你需要接受html字符输入,最好使用htmlencode之类的方法将它进行编码确保安全再将它们显示出来.

内容:

目的

总括

分步实施提要

第一步. 使用asp .net 请求校验.

第二步. 使用权用约束输入.

第三步. 对不安全的输入进行编码.

第四步. 对sql语句使用命令参数方式.

第五步. 验证asp .net的错误没有被返回客户端.

额外的资源

--------------------------------------------------------------------------------

目的:

对输入的字串长度,范围,格式和类型进行约束.
在开发asp .net程序时使用请求验证防止注入攻击.
使用asp .net验证控件进行输入验证.
对不安全的输出编码.
使用命令参数集模式防止注入攻击.
防止错误的详细信息被返回到客户端.
概述 :

你应该在程序中验证所有的不信任输入.你应该假定所有的用户输入都是非法的.用户可以在应用程序中提供表单字段,查询字串,客户端cookies和浏览器环境值比如用户代理字串和ip地址等.

弱输入校验通常为注入攻击提供了机会.下面是常见的利用弱输入校验或无输入校验进行攻击的手段.

sql 注入(sql injection). 如果你使用用户的输入值来动态构造sql语句,那么数据库可能执行攻击性的有害sql语句.
跨站脚本(cross-site scripting). 跨站脚本攻击利用网页验证漏洞注入客户端脚本.接下来这些代码被发送到受信任的客户端电脑上并被浏览器解释执行.因为这些代码来自受信任的站点,所以浏览器无法得知这些代码是有害的.
未授权的文件访问(unauthorized file access).如果你的代码从调用者那里接受输入,恶意用户可以看到你对文件的操作过程从而访问那些受保护的文件或者使用你的代码注入非法数据.

ICP备案编号:粤ICP备06052964号

www.sosof.com

选择显示字体大小

在asp.net中防止注入攻击[翻译]

关键字本文所属关键字

相关与本文相关文章

分类所有文章关键字导航

源码编程相关

SQL数据库相关

手机无线相关

网页设计制作相关

网站建设推广相关

操作系统/服务器相关

图形图像多媒体相关

标准网站致力的规范

www.sosof.com

选择显示字体大小

在asp.net中防止注入攻击[翻译]

shouchang();

关键字 本文所属关键字

相关 与本文相关文章

分类 所有文章关键字导航

源码编程相关

SQL数据库相关

手机无线相关

网页设计制作相关

网站建设推广相关

操作系统/服务器相关

图形图像多媒体相关

标准 网站致力的规范

关键字本文所属关键字

相关与本文相关文章

分类所有文章关键字导航

标准网站致力的规范