gpt4 book ai didi

asp.net - 准备 ASP.Net 网站进行渗透测试

转载 作者:行者123 更新时间:2023-12-01 22:22:11 26 4
gpt4 key购买 nike

多年来,我开发的一些网站已提交给客户进行渗透测试。大多数情况下,结果返回时突出显示的问题与 ASP .Net 的默认行为有关,例如可能的跨站点脚本攻击等。

是否有任何关于 ASP .Net 应用程序中默认存在的漏洞的好文章,其次是否有任何好的 list 可供遵循,以帮助提前准备站点?

最佳答案

我认为检查 list 随着时间的推移而变化,其理论与经验一起变化。我总是检查我的日志文件并查看他们尝试渗透我的网站的新方法 - 例如扫描“不存在”文件,或尝试运行随机查询。

一个很好的页面,有很多关于渗透的文章: http://www.cgisecurity.com/pentest.html

尝试渗透我的网站的一些方式。

最常见

  • sql 注入(inject),因此我检查并阻止在 url 行上使用“select”命令调用我的网站的用户。我还检查其他 sql 命令。
  • 忘记了 javascript filebrowser 我发现最近他们搜索以下链接:wwwmysite.com/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/tinybrowser.php?type=file&folder=

为了找到它们,我监视“找不到页面”事件。当然,如果找到页面,他们就会渗透。然而,更有可能看到失败的尝试并了解他们在寻找什么。

神谕攻击

这些天我还看到很多预言机攻击。我找到它们并使用以下代码阻止攻击者的完整 IP:CryptographicException: Padding is invalid and cannot be removed and Validation of viewstate MAC failed

窃取cookie

我也关注这个问题的答案:Can some hacker steal the cookie from a user and login with that name on a web site?
要点:始终对登录 cookie 使用 ssl 加密 (requireSSL=true),并且不要在 cookie 上放置角色 (cacheRolesInCookies=false)。

提前阻止

我还从系统/程序/iis 内部阻止列入黑名单的 ip,但过去我使用过 PeerGuardian。此外,您还可以找到许多可以提前阻止的不良 IP 列表。我对这些不良 IP 的唯一说明是,我不会永远阻止它们,而只会阻止它们几天。阻止不良 ip 还可以帮助我处理数百封垃圾邮件。 http://phoenixlabs.org/pg2/

调查日志

我认为人们可以通过多种方式思考并尝试渗透您的网站。关键是如何在这种情况发生之前预测并记录它们,并始终制定更好的机制来避免它们。正如我所说,我监视未找到的页面,以及页面引发的内部错误。这两种方法向我展示了很多渗透尝试。

上传脚本。

如果您有权上传文件、图像和其他内容,请确保它们不能在上传目录上运行。这可以通过仔细检查文件的扩展名以及从服务器本身禁用该目录上的程序和脚本的运行来完成,还可以通过将 web.config 放在上传目录上来完成:

<configuration>
<system.web>
<authorization>
<deny users="*" />
</authorization>
</system.web>
</configuration>

阅读一个案例: I've been hacked. Evil aspx file uploaded called AspxSpy. They're still trying. Help me trap them‼

关于asp.net - 准备 ASP.Net 网站进行渗透测试,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4122486/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com