天涯之外

摘要： /// /// 在 Application_BeginRequest中加入函数StartProcessRequest() /// protected void Application_BeginRequest(Object sender, EventArgs e) { StartP... 阅读全文

摘要： 最近很多网站数据库被挂马，出现类似 "> 的字符，现在给大家提供asp和.net的解决方法 C#防注检查代码 /// /// 防注入字符串检查 /// /// 待检查的字符串 /// public static bool StringCheck(strin... 阅读全文

摘要： 目的: · 对输入的字串长度,范围,格式和类型进行约束. · 在开发ASP.NET程序时使用请求验证防止注入攻击. · 使用ASP.NET验证控件进行输入验证. · 对不安全的输出编码. · 使用命令参数集模式防止注入攻击. · 防止错误的详细信息被返回到客户端. 概述 : 你应该在程序中验证所有的不信任输入.你应该假定所有的用户输入都是非法的.用户可以在应用程序... 阅读全文

摘要： 这里就介绍大家使用VS自带的混淆器dotfuscator.exe来阻止这种行为。 首先要做的找到dotfuscator.exe： D:\Microsoft Visual Studio .NET 2003\PreEmptive Solutions\Dotfuscator Community Edition 运行dotfuscator.exe首先是是否注册的界面，先不注册吧，进入下面的界面： ... 阅读全文

摘要： A potentially dangerous Request.Form value was detected from the client (txtTest=""). 由于在.net中，Request时出现有HTML或Javascript等字符串时，系统会认为是危险性值。立马报错。 解决方案一： 在.aspx文件头中加入这句： 解决方案二： 修改web.config文件: ... 阅读全文

摘要： 首先，服务器上用的是私有的操作系统和数据库，所谓私有，并不是完全自己写，而是说，全部都是进行私有化改造过的，一般使用开源的操作系统和数据库进行改造，比如说操作系统使用free bsd的改，数据库使用mysql的改，网站服务器数量上百时开始实施这个工程的网站比较多，费用是很重要的一方面原因，但更重要的是安全因素。防火墙不仅昂贵，而且会严重降低效率，所以他们一般不会考虑。 改造操作系统的时候，除通... 阅读全文

摘要： 一般的黑客攻击SQL Server时，首先采用的方法是执行xp_cmdshell命令来破坏数据库，为了数据库安全起见，最好禁止使用xp_cmdShell。 xp_cmdshell可以让系统管理员以操作系统命令行解释器的方式执行给定的命令字符串，并以文本行方式返回任何输出，是一个功能非常强大的扩展存贮过程。 一般情况下，xp_cmdshell对管理员来说也是不必要的，xp_cmdshell的消除不会... 阅读全文

摘要： 经常在论坛里看到有问怎么实现验证码的帖子,其实关于验证码的文章在CSDN,DEV-CLUB等网站上都有很多,但是很多文章只讲诉了如何输出一个随机生成数字或字符的图象,当然了,这个是验证码的核心了,但是对很多ASP.NET的初学者来说,怎么使用它生成的图象又成了一个问题(论坛有不少问这个的),这也是我写本文的一个原因. 言归正传,关于验证码的原理,我就不多说了,大家可以参见其他文章,文末附有完整的实... 阅读全文

摘要： 一、什么是SQL注入式攻击？ 所谓SQL注入式攻击，就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如： ⑴ 某个ASP.NET Web应用有一个登录页面，这个登录页面控制着用户是... 阅读全文

摘要： 成员和角色管理器提供程序--现在ASP.NET 2.0包含了内建的成员和角色管理服务。由于这些服务都是提供程序驱动的（provider-driven），你可以轻易地变更它，或者用自定义实现来代替它。 登录控件--新的登录控件为站点的基于认证和授权的UI（例如登录窗体、创建用户窗体、密码取回、已登录用户或角色的定制UI）提供了基本模块。这些控件利用ASP.NET 2.0中的内建的成员和角色服务与站点... 阅读全文