1.上传
2.跨站
3.注入
上传的安全题目不在本文议论范围内,这里只议论跨站与注入的题目,而这二者都是基础能够经由过程过滤来处置惩罚的!把注入放在最后面是因为,SQL注入玩了这么多年,人人应当有了肯定的提防,只需稍有点注重,能在asp.net上面玩下的注入照样相称少的!注重这以下几点。
1.一切的参数。假如是int范例的,请转换成int再处置惩罚! 别拿装箱与拆箱来说事!预计如今人人也不会把sql语句直接在web内里拼接了,最少也要用上几个类,中心的一些简朴的逻辑处置惩罚!范例转换照样要涉及到的
2.只管运用参数化查询!
3.最少要注重过滤单引号(实在假如运用参数化查询,不过滤也没事,不过我照样习惯性过滤)!
4.不要直接把毛病光秃秃的暴露给用户!这点不单单议是为了提防注入,同时也是一个用户体验题目!经由过程重写OnError事宜,再继续,能很好的处置惩罚!
而相对于跨站,防洗耳范起来就贫苦多了,过滤一直是个很纠结的东西,过滤太严了,影响一般运用,没过滤好,又激发安全题目!我把我刚写的过滤类拿出来,或许个中另有没有斟酌到的处所,愿望人人指导,
public static string StringFilters(string input)
{
if (string.IsNullOrEmpty(input))
return input;
/*跨站进击过虑*/
input = input.Replace("&#", "&#");//过滤&# 进击方式javascript:alert('XSS')
input = Regex.Replace(input, @"javascript:", "Javascript:", RegexOptions.IgnoreCase);//过滤JS 进击方式:javascript:alert('XSS');
input = Regex.Replace(input, @"vbscript:", "Vbscript:", RegexOptions.IgnoreCase);//过滤JS 进击方式:vbscript:msgbox('XSS');
input = Regex.Replace(input, @"j *a *v *a *s *c *r *i *p *t:", "Vbscript:", RegexOptions.IgnoreCase);//进击方式:java script:alert('XSS');
input = Regex.Replace(input, @"\/\*[sS]*\*\/", "<!-- code -->", RegexOptions.IgnoreCase);
input = Regex.Replace(input, @"expression", "expression", RegexOptions.IgnoreCase);
input = Regex.Replace(input, @"<[\u0020]*style[^>]*>", "S:yle", RegexOptions.IgnoreCase);
input = Regex.Replace(input, @"<[^>]*object[^>]*>", "objec&$58", RegexOptions.IgnoreCase);//进击方式 <OBJECT TYPE="text/x-scriptlet" DATA="http://www.cnblog.cn"></OBJECT> 注重,如许过滤后将没法运用FLASH
/*种种事宜过滤*/
input = Regex.Replace(input, @"<[^>]*[\u0020]+on[A-Za-z]{3,20}[\u0020]*=[\u0020]*[^>]*>", "Js Event", RegexOptions.IgnoreCase);//
input = input.Replace("'", "'");//单引号防备SQL注入
input = Regex.Replace(input, @"script", "Script", RegexOptions.IgnoreCase);//防备剧本进击
input = Regex.Replace(input, @"frame", "frame", RegexOptions.IgnoreCase);//防备iframe 挂马
input = Regex.Replace(input, @"form", "form", RegexOptions.IgnoreCase);//制止表单提交
input = Regex.Replace(input, @"meta", "meta", RegexOptions.IgnoreCase);//防备用使meta跳转到不法网页
return input;
}
补充一下,过滤万万不要把字符串过虑成空,如许一样存在安全题目,必需过虑成别的一个字符串,比方过滤你好,那末用户能够构建如许一个字符“你你好好”,经由过程Replace("你好","")以后,输出的效果,我不说人人也晓得!
别的,这里是斟酌了支撑HTML的状况,所以没有直接过虑尖括号!
更多Asp.net之数据过滤浅析相干文章请关注ki4网!
