تبلیغات
مقالات آموزشی برنامه نویسی و شبکه - مطالب ابر

آموزش جلوگیری از حمله xss در asp.net

سلام

معمولا هرجا از ادیتور استفاده می کنیم ، مجبوریم که validation request صفحه رو غیر فعال کنیم.

یکی از نکات خیلی مهم اینه که در اینجور صفحاتی که شما  validation request صفحه رو غیر فعال کردین


همیشه یادتون باشه که ورودی هاتون رو بصورت htmlEncode بگیرین.


اینجوری علامت های خطرناکی مثل  >  یا  <  به عبارات بی خطری مثل   &gt;  و &lt;  تبدیل میشن که خاصیت اجرا شدن ندارن وفقط خاصیت نمایش دارن.


پی نوشت :

در حمله XSS هکر کد جاوا اسکریپت خودشو توی تکست باکس میزیره و شما هم که از همه جا بی خبر ریال راحت اونو توی دیتابیس میریزین و توی صفحات سایتتون نشون میدین و اینجوری هکر عزیز خیلی راحت می تونه کوکی ها و اطلاعات مهم تک تک بازدید کنندگان سایت شما رو بدست بیاره.


asp.net بصورت پیش فرض محتوای تمامی تکست باکس ها رو چک می کنه و با دیدن عبارات خطرناک ، کلا اجازه postBack  شدن صفحه رو نمیده  ، ولی گاهی نیاز دارین که این خاصیت رو بصورتی که گفتیم غیر فعال کنیم.

البته در نسخه 4 asp.net بنده به ضخصه دیدم که حتی وقتی $ یا # توی تکست باکسی نوشته میشه ، صفحه ارور validate میده !

که این خودش داستانیه !

برای اینکه مثلا کاربرای سایتتون اینحوری نمی تونن پسوردای با ضریب امنیتی بالا با کمک کاراکترهای خاص برای خودشون انتخاب کنن ...

نوشته شده در تاریخ شنبه 5 اسفند 1391    | توسط: ح.م    | طبقه بندی: آموزش امنیت در asp.net،     | نظرات()


5 اشتباه امنیتی خطرناک برنامه نویسان وب با asp.net

 امنیت صفحات وب ، یکی از دغدغه های هر برنامه نویس وب است
برنامه نویسان وب اغلب با اصول اولیه برقراری امنیت در وب سایت های خود آشنایی ندارند  در این میان با توجه به اینکه مایگروسافت برخی تمهیدات را بصورت پیش فرض در نظر می گیرد (مانند چک نمودن خودکار اطلاعات کوئری استرینگ ها و جلوگیری از حمله sql injection) برنامه نویسان asp.net دارای امنیت بیشتری نسبت به برنامه نویسان php و زبان های سورس باز هستند
با این حال در صورتی که برنامه نویسان asp.net دقت کافی را در کد نویسی های خود نداشته باشند ، دو دستی اطلاعات حساسی را به هکران تقدیم نموده اند.

جالب اینجاست که هنوز بسیاری از برنامه نویسان به حداقل کارهای مورد نیاز جهت امن نمودن اطلاعات حساس برنامه خود آشنایی ندارند.

لذا در ادامه مطلب 5 اشتباه امنیتی خطرناک برنامه نویسان وب با asp.net که می توان با کمی آموزش آنها را برطرف نمود را با هم یاد خواهیم گرفت. (راه های رفع این باگ های امنیتی رو هم آموزش میدم)

امنیت در asp.net - netnic.ir

نوشته شده در تاریخ چهارشنبه 2 اسفند 1391    | توسط: ح.م    | طبقه بندی: آموزش امنیت در asp.net،     | نظرات()