asp.net MVC 安全性[笔记]_.NET_编程开发_程序员俱乐部

中国优秀的程序员网站程序员频道CXYCLUB技术地图
热搜:
更多>>
 
您所在的位置: 程序员俱乐部 > 编程开发 > .NET > asp.net MVC 安全性[笔记]

asp.net MVC 安全性[笔记]

 2014/9/29 14:59:46  juggd  程序员俱乐部  我要评论(0)
  • 摘要:1.跨站脚本(XSS)1.1介绍1.1.1被动注入,利用输入html,javascript等信息伪造链接,图片等使用提交信息,调转页面等1.1.2主动注入,黑客主动参与攻击,不会傻等倒霉的用户上钩1.2防御1.2.1HTML编码Html.Encode1.2.2HTML属性编码Html.AttributeEncode1.2.3url编码URL.Encode1.2.4javascript编码Ajax.JavaScriptStringEncode1.2.5CSS编码1
  • 标签:笔记 .net ASP.NET MVC net 安全性

1. 跨站脚本(XSS)

1.1 介绍

1.1.1 被动注入,利用输入html,javascript 等信息伪造链接,图片等使用提交信息,调转页面等

1.1.2 主动注入,黑客主动参与攻击,不会傻等倒霉的用户上钩

 

1.2 防御

1.2.1 HTML 编码

Html.Encode

1.2.2 HTML 属性编码

Html.AttributeEncode

1.2.3 url 编码

URL.Encode

1.2.4 java script 编码

Ajax.JavaScriptStringEncode

1.2.5 CSS 编码

 

1.3 使用AntiXSS的NuGet包

install-package AntiXSS

1.3.1 AntiXss使用的是白名单,而asp.net默认是黑名单,着用AntiXSS的安全性比ASP.NET 高

1.3.2 AntiXss注重安全漏洞, asp.net注重HTML页面的不被破坏

1.3.3 使用

@using Microsoft.Security.Application

@Encoder.JavaScriptEncode();

 

2.请求伪造(CSPF)

2.1 介绍

 在网站上通过图片链接等伪造银行等机构的请求(混淆代理),例如现在很多银行用的get 请求,url 会在地址栏上显示,这就给了黑客机会,黑客可以通过任何吸引你的内容,让你点击,伪造相同的请求发给银行,正好你银行在登陆状态,就可以转账盗取金钱。

2.2 令牌验证

通过验证用户是否资源提交站点数据来达到防御目的,可以在Html隐藏元素来实现。

MVC 中

@Html.AntiForgeryToken(), 会输出一个加密值作为隐藏元素

在提交表单时,ActionFilter就会验证2个值是否匹配:

[ValidateAntiForgertToken]

public ActionResult Register(..)

2.3 幂等的get 请求

仅通过post 请求来修改数据或内容,就可有效的防御全部伪造攻击。

2.3 HttpReferrer 验证

ActionFilter 来阻止CSRF攻击:

[csharp] view plaincopyprint?  
    class="dp-c" start="1">
  1. public class IsPostedFromThisSiteAttribute : AuthorizeAttribute  
  2. {  
  3. public override void OnAuthorize(AuthorizationContext filterContext)  
  4. {  
  5. if (filterContext.HttpContext != null)  
  6. {  
  7. if (filterContext.HttpContext.Request.UrlReferrer == null)  
  8. throw new System.Web.HttpException("Invalid submission");  
  9. if (filterContext.HttpContext.Request.UrlReferrer.Host !=  
  10. "mysite.com")  
  11. throw new System.Web.HttpException  
  12. ("This form wasn't submitted from this site!");  
  13. }  
  14. }  
  15. }  

 

然后再Register 上面添加自定义的过滤器

 

[csharp] view plaincopyprint?  
  1. [IsPostedFromThisSite]  
  2. public ActionResult Register(…)  

 

 

3.cookie盗窃

3.1 介绍

利用XSS获取用户cookie,用用户的Id登陆目标网站

3.2HttpOnly 阻止

web.config 里设置

<HttpCookies httpOnlyCookies="true" ...>

3.3单独设置httponly

Response.Cookies["MyCookie"].HttpOnly=true;

 

4.重复提交

4.1 介绍

MVC 尊顺命名约束把输入元素映射到模型属性中,恶意用户可以向查询字符串或提交的表单中添加其他属性(模型中存在,但用户没权操作的属性)来干预表单提交。甚至可以得到其他账户的权限。

4.2 使用bind 特性防御重复提交,下面展示的Product 模型只能映射name 和age 属性。无权操作其他的属性。

[Bind(Include="Name","Age")]

pulbic class Product{

......

}

4.3 使用UpdateModel 后TryUpdataModel 的重载本版接受bind 列表。

UpdateModel(product,"product",new string[] {"Name","Age"} ")

4.4 避免直接绑定试图

使用view model.

发表评论
用户名: 匿名