62,041
社区成员
发帖
与我相关
我的任务
分享ASP.NET登录安全性问题
使用存储过程 DL_CheckUser
当页面用户名和密码全部输入后
login.aspx页面部分代码
if(txtusname.text!=string.empty&&txtpwd!=string.empty)
{
session["userName"]=username;
response.write("default.aspx");
}
今天使用了IBM的appscan扫描工具进行扫描,发现如下错误
以前一般都是这么写,现在问题来了
1. 使用 SQL 注入的认证旁路
(txtPassword) http://xxx.vicp.net/login.aspx
(txtUserName) http://xxx.vicp.net/login.aspx
针对这个问题的解决方案
若干问题的补救方法在于对用户输入进行清理。
通过验证用户输入未包含危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令,等等。
2.会话标识未更新
针对这个问题的解决方案
始终生成新的会话,供用户成功认证时登录。
防止用户操纵会话标识。
请勿接受用户浏览器登录时所提供的会话标识
第一个,我已经使用存储过程,出于客户端攻击,网上查了下资料,列如:
HashMethod hm = new HashMethod();
string userPassword=Server.HtmlDecode(hm.Encrypto(txtPassword.Text.Trim()));
密码经过加密,而且使用Server.HtmlDecode()方法获取客户端的值,这样还是没有通过他的安全检验。。。
第二个,每次生成新的会话,不是很了解这句话的意思。请安全方面的高手指点~大家也可以讨论下 一般登录要多安全才能通过这些安全软件的扫描。。。
http://www.fsnws.com/html/net/anquanxiangguan/20090826/83.html
IBM Rational AppScan下载,7z文件格式,破解版的,大家可以去下载扫描下自己的web应用程序。
IBM Rational AppScan Standard Edition V7.8.1多语言版本,最关键是支持简体中文,IBM Rational AppScan 是很不错的Web应用安全扫描工具,和Acunetix Web Vulnerability Scanner以及HP Webinspect相比它支持中文,appscan在每次扫描到漏洞后,会给出相应的java/.net/php等的解决方案,让你一目了然。内含appscan破解补丁,先用keygen生成证书,再运行破解程序,就可以成功导入证书了。破解之后可以升级软件。
当页面用户名和密码全部输入后
login.aspx页面部分代码
if(txtusname.text!=string.empty&&txtpwd!=string.empty)
{
session["userName"]=username;
response.write("default.aspx");
}
今天使用了IBM的appscan扫描工具进行扫描,发现如下错误
以前一般都是这么写,现在问题来了
1. 使用 SQL 注入的认证旁路
(txtPassword) http://xxx.vicp.net/login.aspx
(txtUserName) http://xxx.vicp.net/login.aspx
针对这个问题的解决方案
若干问题的补救方法在于对用户输入进行清理。
通过验证用户输入未包含危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令,等等。
2.会话标识未更新
针对这个问题的解决方案
始终生成新的会话,供用户成功认证时登录。
防止用户操纵会话标识。
请勿接受用户浏览器登录时所提供的会话标识
第一个,我已经使用存储过程,出于客户端攻击,网上查了下资料,列如:
HashMethod hm = new HashMethod();
string userPassword=Server.HtmlDecode(hm.Encrypto(txtPassword.Text.Trim()));
密码经过加密,而且使用Server.HtmlDecode()方法获取客户端的值,这样还是没有通过他的安全检验。。。
第二个,每次生成新的会话,不是很了解这句话的意思。请安全方面的高手指点~大家也可以讨论下 一般登录要多安全才能通过这些安全软件的扫描。。。
http://www.fsnws.com/html/net/anquanxiangguan/20090826/83.html
IBM Rational AppScan下载,7z文件格式,破解版的,大家可以去下载扫描下自己的web应用程序。
IBM Rational AppScan Standard Edition V7.8.1多语言版本,最关键是支持简体中文,IBM Rational AppScan 是很不错的Web应用安全扫描工具,和Acunetix Web Vulnerability Scanner以及HP Webinspect相比它支持中文,appscan在每次扫描到漏洞后,会给出相应的java/.net/php等的解决方案,让你一目了然。内含appscan破解补丁,先用keygen生成证书,再运行破解程序,就可以成功导入证书了。破解之后可以升级软件。
...全文
请发表友善的回复…
发表回复
阿拉敏敏 2012-07-02
- 打赏
- 举报
上面有位大神貌似的意思是不是在登录页面使用一个session["Name"],跳转到主页面去后,重新换一个session来继承他的session["Name"]的值,我不知道这样的session转变是不是真的可以吧安全提高啊?
boliheng0714 2012-05-31
- 打赏
- 举报
请问一下你的“会话标识未更新”的漏洞是怎么解决的?
方便指导一下我吗,谢谢
方便指导一下我吗,谢谢
xiaoyuehen 2010-03-24
- 打赏
- 举报
没搞过!
yutan_313 2010-03-24
- 打赏
- 举报
mark一下,我正面临这个问题,会话标识未更新。头痛啊,现在甲方不给我们验收,就是这个问题。
swalp 2010-02-08
- 打赏
- 举报
没搞过!
lawbc 2010-02-07
- 打赏
- 举报
没搞过什么安全登录的
KFCILIKEIT 2010-02-07
- 打赏
- 举报
顶楼上的,这里应该和数据库交互,不是空就能进啊!有专门的登录控件啊
ycproc 2010-02-07
- 打赏
- 举报
[Quote=引用 5 楼 lovexiaoxiao 的回复:]
学习了!
[/Quote]
学习来的
学习了!
[/Quote]
学习来的
Skyhoo 2010-02-07
- 打赏
- 举报
if(txtusname.text!=string.empty&&txtpwd!=string.empty)
{
session["userName"]=username;
response.write("default.aspx");
}
你这两句代码。。貌似不是空就可以跳转了?
我还是建议你用 authentication mode="Forms" 来显示用户访问后台文件夹文件,除非登陆后才可以访问
{
session["userName"]=username;
response.write("default.aspx");
}
你这两句代码。。貌似不是空就可以跳转了?
我还是建议你用 authentication mode="Forms" 来显示用户访问后台文件夹文件,除非登陆后才可以访问
Skyhoo 2010-02-07
- 打赏
- 举报
不要用SESSION认证,用 身份验证
读取数据用SQL参数化读取
读取数据用SQL参数化读取
endlessw 2010-02-07
- 打赏
- 举报
还有没有高手啊。。。为什么没有人呢?
lstc 2010-02-04
- 打赏
- 举报
如果您的客户接受强身份认证方式,那么客户端可以采用USBKey的方式登录、挑战-应答的认证方式
cena_jin 2010-02-04
- 打赏
- 举报
学习学习!!
YnSky 2010-02-04
- 打赏
- 举报
Up
小鹏 2010-02-04
- 打赏
- 举报
session加认证机制
变成熊猫你就老实了是不 2010-02-04
- 打赏
- 举报
session就ok了,不必这么复杂
wuyq11 2010-02-03
- 打赏
- 举报
登录数据参数查询信息
数字证书
减少使用cookie
数字证书
减少使用cookie
antony1029 2010-02-03
- 打赏
- 举报
mark
Andytuoye 2010-02-03
- 打赏
- 举报
mark
zhouzangood 2010-02-03
- 打赏
- 举报
up
加载更多回复(16)
