1、未隐藏错误讯息:开发人员常会将<customErrors mode="Off" />方便排错,但正式上线时却忘了移除,导致一旦程序出错,相关程序代码细节甚至程序片段就赤裸裸地展示出来,黑客可能由其中找到相关的文件位置、数据库信息、组件版本…等信息,提供入侵的指引。
2、关闭Request Validation:近30%的网站豪迈地关闭了全站的Request验证,若真有需要,针对页面关闭就好,至少伤害面变小,但如果心有余力,避开此限制保持后门紧闭还是上策。
3、未更新Windows/IIS:去年底被揭露的HTTP POST Hash DoS漏洞,攻击者用简单的Request就能让网站忙到死去活来,终至服务瘫痪,微软已在2月发布补定,但是似乎还有50%的网站未完成更新。
4、ELMAH存取未设限:稍有不慎,程序里的秘密就会大放送,十分危险,甚至黑客还可能藉此伪造ASP.NET Session冒充身份。
5、未关闭Trace:虽然比例不高,但通过trace.axd黑客还是能搜集到很多重要情报,上线到正式环境时记得关闭。
6、SQL注入漏洞:程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患,用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
7、跨站脚本攻击漏洞:网站对于用户输入的数据过滤不严格,倘若用户输入的数据中含有HTML代码的话,则该代码将会在页面载入时自动运行,一旦输入的数据中含有恶意代码,那么后果将不堪设想。
8、登陆验证绕过漏洞:在某些网站程序中,用户可以在未经过受权的情况下访问某些敏感页面,譬如网站后台页面。
9、ViewState反序列化漏洞:如果ViewState未加密或未正确校验的话,ViewState数据可能被篡改,进而带来安全隐患。
ASP漏洞检测是一个复杂的过程,需要综合考虑多个因素,最好的方法是结合多种检测方法和工具,以确保对ASP应用程序的全面检测和保护,及时更新和修补ASP应用程序的漏洞也是重要的安全措施。
小伙伴们,上文介绍asp漏洞检测的内容,你了解清楚吗?希望对你有所帮助,任何问题可以给我留言,让我们下期再见吧。
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/87967.html
