在Asp.net開(kāi)如中,引發(fā)安全問(wèn)題最多的大多來(lái)自于以下三個(gè)方面:
1.上傳
2.跨站
3.注入
上傳的安全問(wèn)題不在本文討論范圍內(nèi),這里只討論跨站與注入的問(wèn)題,而這兩者都是基本可以通過(guò)過(guò)濾來(lái)處理的!把注入放在最后面是因?yàn)椋琒QL注入玩了這么多年,大家應(yīng)當(dāng)有了一定的防范,只要稍有點(diǎn)注意,能在asp.net上面玩下的注入還是相當(dāng)少的!注意這以下幾點(diǎn)。
1.所有的參數(shù)。如果是int類型的,請(qǐng)轉(zhuǎn)換成int再處理! 別拿裝箱與拆箱來(lái)說(shuō)事!估計(jì)現(xiàn)在大家也不會(huì)把sql語(yǔ)句直接在web里面拼接了,起碼也要用上幾個(gè)類,中間的一些簡(jiǎn)單的邏輯處理!類型轉(zhuǎn)換還是要涉及到的
2.盡量使用參數(shù)化查詢!
3.起碼要注意過(guò)濾單引號(hào)(其實(shí)如果使用參數(shù)化查詢,不過(guò)濾也沒(méi)事,不過(guò)我還是習(xí)慣性過(guò)濾)!
4.不要直接把錯(cuò)誤赤裸裸的暴露給用戶!這點(diǎn)不僅僅是為了防范注入,同時(shí)也是一個(gè)用戶體驗(yàn)問(wèn)題!通過(guò)重寫(xiě)OnError事件,再繼承,能很好的處理!
而相對(duì)于跨站,防洗耳范起來(lái)就麻煩多了,過(guò)濾一直是個(gè)很糾結(jié)的東西,過(guò)濾太嚴(yán)了,影響正常使用,沒(méi)過(guò)濾好,又引發(fā)安全問(wèn)題!我把我剛寫(xiě)的過(guò)濾類拿出來(lái),也許其中還有沒(méi)有考慮到的地方,希望大家指點(diǎn),
復(fù)制代碼 代碼如下:
public static string StringFilters(string input)
{
if (string.IsNullOrEmpty(input))
return input;
/*跨站攻擊過(guò)慮*/
input = input.Replace("#", "#");//過(guò)濾# 攻擊方式#x6A#x61#x76#x61#x73#x63#x72#x69#x70#x74#x3A#x61#x6C#x65#x72#x74#x28#x27#x58#x53#x53#x27#x29
input = Regex.Replace(input, @"javascript:", "#74;avascript#58;", RegexOptions.IgnoreCase);//過(guò)濾JS 攻擊方式:javascript:alert('XSS');
input = Regex.Replace(input, @"vbscript:", "#86;#98;script#58;", RegexOptions.IgnoreCase);//過(guò)濾JS 攻擊方式:vbscript:msgbox('XSS');
input = Regex.Replace(input, @"j *a *v *a *s *c *r *i *p *t:", "#86;#98;script#58;", RegexOptions.IgnoreCase);//攻擊方式:java script:alert('XSS');
input = Regex.Replace(input, @"\/\*[sS]*\*\/", "!-- code -->", RegexOptions.IgnoreCase);
input = Regex.Replace(input, @"expression", "expression", RegexOptions.IgnoreCase);
input = Regex.Replace(input, @"[\u0020]*style[^>]*>", "#83;#58;yle", RegexOptions.IgnoreCase);
input = Regex.Replace(input, @"[^>]*object[^>]*>", "#111;#98jec$58", RegexOptions.IgnoreCase);//攻擊方式 OBJECT TYPE="text/x-scriptlet" DATA="http://www.cnblog.cn">/OBJECT> 注意,這樣過(guò)濾后將無(wú)法使用FLASH
/*各種事件過(guò)濾*/
input = Regex.Replace(input, @"[^>]*[\u0020]+on[A-Za-z]{3,20}[\u0020]*=[\u0020]*[^>]*>", "Js Event", RegexOptions.IgnoreCase);//
input = input.Replace("'", "#39;");//單引號(hào)防止SQL注入
input = Regex.Replace(input, @"script", "#83;#99;ript", RegexOptions.IgnoreCase);//防止腳本攻擊
input = Regex.Replace(input, @"frame", "#102;#114;ame", RegexOptions.IgnoreCase);//防止iframe 掛馬
input = Regex.Replace(input, @"form", "#102;#111;rm", RegexOptions.IgnoreCase);//禁止表單提交
input = Regex.Replace(input, @"meta", "#109;#101;ta", RegexOptions.IgnoreCase);//防止用使meta跳轉(zhuǎn)到非法網(wǎng)頁(yè)
return input;
}
補(bǔ)充一下,過(guò)濾千萬(wàn)不要把字符串過(guò)慮成空,這樣同樣存在安全問(wèn)題,必須過(guò)慮成另外一個(gè)字符串,比如過(guò)濾你好,那么用戶可以構(gòu)建這樣一個(gè)字符“你你好好”,通過(guò)Replace("你好","")之后,輸出的結(jié)果,我不說(shuō)大家也知道!
另外,這里是考慮了支持HTML的情況,所以沒(méi)有直接過(guò)慮尖括號(hào)!
您可能感興趣的文章:- asp.NET 臟字過(guò)濾算法 修改版
- asp.NET 臟字過(guò)濾算法
- ASP.NET過(guò)濾器的應(yīng)用方法介紹
- asp.net 過(guò)濾圖片標(biāo)簽的正則
- ASP.NET環(huán)境下為網(wǎng)站增加IP過(guò)濾功能
- ASP.NET過(guò)濾HTML標(biāo)簽只保留換行與空格的方法
- ASP.NET過(guò)濾HTML字符串方法總結(jié)
- ASP.NET中的URL過(guò)濾實(shí)現(xiàn)代碼
- asp.net 臟字典過(guò)濾問(wèn)題 用正則表達(dá)式來(lái)過(guò)濾臟數(shù)據(jù)
- ASP.NET過(guò)濾類SqlFilter,防止SQL注入
- 高效.NET臟字過(guò)濾算法與應(yīng)用實(shí)例
