1、未隐藏错误信息:开发人员在调试阶段常会将<customErrors mode="Off" />以方便排错,但上线时忘了移除,导致一旦程序出错,相关程序代码细节甚至程序片段就赤裸裸地展示出来,黑客可能由其中找到相关的文件位置、数据库信息、组件版本... 等信息,提供入侵的指引。
2、关闭Request Validation:近30%的网站豪迈地关闭了全站的Request验证,若真有需要,针对页面关闭就好,至少伤害面变小,但如果心有余力,避开此限制保持后门紧闭还是上策。
3、未更新Windows/IIS:去年底被揭露的HTTP POST Hash DoS漏洞,攻击者用简单的Request就能让网站忙到死去活来,终至服务瘫痪,微软已在2月发布补定,但是似乎还有50%的网站未完成更新。
4、ELMAH存取未设限:关于ELMAH存取设定的风险之前也有文章 《大叔手记(18):利用Elmah和Google体验一把入侵的快感》提过,稍有不慎,程序里的秘密就会大放送,十分危险,甚至黑客还可能藉此伪造ASP.NET Session冒充身份。
5、未关闭Trace:虽然比例不高,但通过trace.axd黑客还是能搜集到很多重要情报,上线到正式环境时记得关闭。
6、SQL注入漏洞:程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患,用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
7、跨站脚本攻击漏洞:网站对于用户输入的数据过滤不严格,倘若用户输入的数据中含有HTML代码的话,则该代码将会在页面载入时自动运行,一旦输入的数据中含有恶意代码,那么后果将不堪设想。
ASP.NET平台下的安全漏洞多种多样,包括配置错误、代码缺陷等,开发人员应遵循安全编码实践,定期更新系统和软件,以减少潜在的安全风险。
以上就是关于“asp.net 漏洞”的问题,朋友们可以点击主页了解更多内容,希望可以够帮助大家!
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/88758.html
