Asp.net之資料過濾淺析

來源:互聯網
上載者:User

在Asp.net開如中,引發安全問題最多的大多來自於以下三個方面:
  1.上傳
  2.跨站
  3.注入
  上傳的安全問題不在本文討論範圍內,這裡只討論跨站與注入的問題,而這兩者都是基本可以通過過濾來處理的!把注入放在最後面是因為,SQL注入玩了這麼多年,大家應當有了一定的防範,只要稍有點注意,能在asp.net上面玩下的注入還是相當少的!注意這以下幾點。
  1.所有的參數。如果是int類型的,請轉換成int再處理! 別拿裝箱與拆箱來說事!估計現在大家也不會把sql語句直接在web裡面拼接了,起碼也要用上幾個類,中間的一些簡單的邏輯處理!類型轉換還是要涉及到的
  2.盡量使用參數化查詢!
  3.起碼要注意過濾單引號(其實如果使用參數化查詢,不過濾也沒事,不過我還是習慣性過濾)!
  4.不要直接把錯誤赤裸裸的暴露給使用者!這點不僅僅是為了防範注入,同時也是一個使用者體驗問題!通過重寫OnError事件,再繼承,能很好的處理!
  而相對於跨站,防洗耳範起來就麻煩多了,過濾一直是個很糾結的東西,過濾太嚴了,影響正常使用,沒過濾好,又引發安全問題!我把我剛寫的過濾類拿出來,也許其中還有沒有考慮到的地方,希望大家指點, 複製代碼 代碼如下:public static string StringFilters(string input)
{
if (string.IsNullOrEmpty(input))
return input;
/*跨站攻擊過慮*/
input = input.Replace("", "&#");//過濾 攻擊方式
input = Regex.Replace(input, @"javascript:", "Javascript:", RegexOptions.IgnoreCase);//過濾JS 攻擊方式:javascript:alert('XSS');
input = Regex.Replace(input, @"vbscript:", "Vbscript:", RegexOptions.IgnoreCase);//過濾JS 攻擊方式:vbscript:msgbox('XSS');
input = Regex.Replace(input, @"j *a *v *a *s *c *r *i *p *t:", "Vbscript:", RegexOptions.IgnoreCase);//攻擊方式:java script:alert('XSS');
input = Regex.Replace(input, @"\/\*[sS]*\*\/", "<!-- code -->", RegexOptions.IgnoreCase);
input = Regex.Replace(input, @"expression", "expression", RegexOptions.IgnoreCase);
input = Regex.Replace(input, @"<[\u0020]*style[^>]*>", "S:yle", RegexOptions.IgnoreCase);
input = Regex.Replace(input, @"<[^>]*object[^>]*>", "ojec&$58", RegexOptions.IgnoreCase);//攻擊方式 <OBJECT TYPE="text/x-scriptlet" DATA="http://www.cnblog.cn"></OBJECT> 注意,這樣過濾後將無法使用FLASH
/*各種事件過濾*/
input = Regex.Replace(input, @"<[^>]*[\u0020]+on[A-Za-z]{3,20}[\u0020]*=[\u0020]*[^>]*>", "Js Event", RegexOptions.IgnoreCase);//
input = input.Replace("'", "'");//單引號防止SQL注入
input = Regex.Replace(input, @"script", "Script", RegexOptions.IgnoreCase);//防止指令碼攻擊
input = Regex.Replace(input, @"frame", "frame", RegexOptions.IgnoreCase);//防止iframe 掛馬
input = Regex.Replace(input, @"form", "form", RegexOptions.IgnoreCase);//禁止表單提交
input = Regex.Replace(input, @"meta", "meta", RegexOptions.IgnoreCase);//防止用使meta跳轉到非法網頁
return input;
}

補充一下,過濾千萬不要把字串過慮成空,這樣同樣存在安全問題,必須過慮成另外一個字串,比如過濾你好,那麼使用者可以構建這樣一個字元“你你好好”,通過Replace("你好","")之後,輸出的結果,我不說大家也知道!
另外,這裡是考慮了支援HTML的情況,所以沒有直接過慮角括弧!

相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.