Top 10 Security Issue Solution
OWASP Top 10 Security Issue
Injection
sql语句全部使用参数形式调用,不拼sql语句
对输入都要验证:客户端验证+服务器段验证
数据库操作的授权
针对每个输入Field,来验证字符串是否允许输入
Cross-Site Scripting (XSS)
输入参数,使用微软的Anti-XSS组件过滤
输出到界面html元素’s string, 使用微软的Anti-XSS组件过滤
SRE(Security Runtime Engine) HttpModule全自动方式
Broken Authentication and Session Management
Unknow
Insecure Direct Object References
业务对象表:技术主键ID(Int)+对外引用ID(Guid)
application layer: 增加一些HashTable==> Guid-->Int 对应关系全局缓存
Cross-Site Request Forgery (CSRF)
使用微软的Anti-CSRF组件过滤每个post请求
Security Misconfiguration(NEW)
Web.config命令行加密
Insecure Cryptographic Storage
对称加密配合随机的PasswordSalt参数
Failure to Restrict URL Access
使用.net提供的membershipprovider组件来实现url保护
配合web.config中的Allow/Deny关键字
Or
使用给每个aspx页面写basepage以达到对每个页面进行权限判断
Insufficient Transport Layer Protection
验证页面:ssl, httponly, cookie
UnvalidatedRedirects and Forwards (NEW)
针对每个需要重定向的url进行验证是否合法
心怀远大理想。
为了家庭幸福而努力。
商业合作请看此处:https://www.magicube.ai
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 如何编写易于单元测试的代码
· 10年+ .NET Coder 心语,封装的思维:从隐藏、稳定开始理解其本质意义
· .NET Core 中如何实现缓存的预热?
· 从 HTTP 原因短语缺失研究 HTTP/2 和 HTTP/3 的设计差异
· AI与.NET技术实操系列:向量存储与相似性搜索在 .NET 中的实现
· 地球OL攻略 —— 某应届生求职总结
· 周边上新:园子的第一款马克杯温暖上架
· Open-Sora 2.0 重磅开源!
· 提示词工程——AI应用必不可少的技术
· .NET周刊【3月第1期 2025-03-02】