ASP.NET网络安全简单防护公开课
今天下午看了一下itcast的公开课,2010年10月28号,虽然很早了,但是才下载下来看。以前看完了itcast的所有免费视频教程,2010年版的13季,2011年版的ASP.NET!=拖控件系列,收获了很多,在此很感谢itcast提供的免费视频。也曾打算过去北京实地培训,拜师杨中科老师,但1万5的费用(学费+吃住等开销,至少1万5吧)暂时还承受不住。于是只有多利用点免费资源,多去51aspx网下点项目来观摩并实践来满足自己的学习。
今天看的这期是关于ASP.NET的网络安全简单防范的,做了如下学习笔记(要点):
1.SQL注入式漏洞攻击:万能密码:'0' or '1=1'
2.XSS跨站脚本攻击:ASP.NET默认就拦截了潜在的XSS,如需使用编辑器需要设定ValidateRequest=false
3.客户端校验不可信原则:有可能客户端禁用了JavaScript
4.投票、重复点击、Cookie、不需要Ajax可以刷:判断报文请求的RequestType或者UrlReferer
5.防止暴力破解与机器人发帖:验证码、错误N次便锁定账户1小时等等方法
6.敏感词过滤:设置禁用词、审核此、替换词等,审核词普通用户看不到,只有管理员才能看,管理员确认不会造成安全问题的帖子才审核通过,否则不能通过。techs:缓存、正则表达式
7.MD5加密算法:不可逆算法,无法进行反向计算,保证系统安全;
8.IIS安全配置:(1)文件权限设置:禁止用户上传含有恶意代码的文件,例如xxx.aspx等;(2)禁止目录浏览;
其中好几条都是在免费的2010版视频中提到过的,其他的也是简单地一带而过,不过免费公开课视频嘛,就不能要求太多了哈。毕竟itcast能放出这么多视频就已经很不错了,而且还确实是在凭良心挣钱(这里不经意间觉得在给itcast打广告了,就算是给它打广告吧,谁叫它确实讲得很好呢。)有机会的话,真的想去北京实地培训,去见见久仰大名的老杨,还有皱华栋老师,本来还有张孝祥老师,但张老师英年早逝,哀哉哀哉,为中华软件之崛起而讲课的重任留给了黎活明和老杨等人了,希望.NET的名声能在正确的老师正确的方法正确的案例的教育下越来越好,不再被某些语言的程序员所看不起,也希望自己能做一个合格的.NET程序员!!