我正在测试一个显示会话固定行为的ASP.NET应用程序.应用程序正在使用基于cookie的会话。基本上:
当您登陆该页面时,不会创建任何会话cookie。
登录后创建ASP.NET_SessionId cookie
在注销和重复登录时,cookie值保持不变(没有cookie值重新生成)
我能够手动执行会话固定攻击:
我在那页上着陆了
我手动创建了一个具有一定价值的ASP.NET_SessionId cookie (针对攻击者)
我打开了一个新的浏览器会话并设置了完全相同的cookie (针对受害者)
我在这个新的浏览器会话中以受害者身份登录。
在攻击者的浏览器会话中,我现在能够以受害者身份浏
浏览 0提问于2015-02-26得票数 3
回答已采纳
我想做两件事:
向我的同事演示xss漏洞并演示如何修复它们。
检查一些工具是否能够检测到漏洞
为此,我需要一个在ASP.NET MVC中更好的示例web应用程序,它具有最常见的漏洞。这样的样点已经存在了吗?
浏览 3提问于2013-03-15得票数 1
回答已采纳
3回答
我必须开发一个ASP.NET web应用程序并将其发布到Windows Azure中,这样它才能在IIS7下运行。我没有任何开发这类应用程序的经验。我经常听到这样的说法:“站点X被入侵是因为它以一种非常愚蠢的方式在做Y”。我有点偏执,我可能也在以一种非常愚蠢的方式做Y(和Z),而且我的应用程序很快就被黑客入侵了。
有没有一个很好的指导方针来保护好ASP.NET网站?
浏览 3提问于2011-07-18得票数 2
回答已采纳
4回答
我正在寻找一个非常不安全的ASP.NET应用程序。理想情况下,我正在寻找一个由一个犯过很多安全错误的菜鸟写的应用程序。如果应用程序有一个MS-SQL后端,这将是一个额外的奖励。我知道有两个很酷的和项目可以满足我的需求。你知道像这样的ASP.NET吗?
浏览 2提问于2010-01-28得票数 0
回答已采纳
我在谷歌搜索"ASP.Net 4.0.30319漏洞“关键字。最后,我在下面的链接中找到了"Microsoft ASP.NET窗体身份验证旁路“:
http://dl.packetstormsecurity.net/1203-exploits/SA-20120328-1.txt
但我不知道如何渗透测试这个漏洞。换句话说,如果有人给我一个由ASP.Net 4.0.30319实现的应用程序,我无法证明存在此漏洞。
我的问题是如何证明ASP.NET应用程序中存在此漏洞?是否有必要的步骤来修补此漏洞已由程序员完成?
浏览 0提问于2014-10-25得票数 -1
我正在使用vb2010与一个经典的ASP页面进行通信。我正在尝试编写一个使用StreamReader、WebRequest和WebResponse检查程序有效性的例程
Dim inStream As StreamReader
Dim webRequest As WebRequest
Dim webResponse As WebResponse
Dim encode As Encoding = System.Text.Encoding.GetEncoding("utf-8")
Dim sURL As String = "http://loc
浏览 0提问于2016-03-09得票数 0
在我的asp.net MVC应用程序中,default.cs页面中有下面这行代码,这是默认的,每个ASP.NET MVC应用程序都应该有这一行。
HttpContext.Current.RewritePath(Request.ApplicationPath, false);
现在问题是Ounce报告的是安全问题,说是CrossSiteScripting.Reflected ..敬请指教
浏览 3提问于2011-02-04得票数 0
回答已采纳
我知道微软提供了一个工具,告诉你关于coss网站,脚本攻击等。该工具是
但是,有没有你用过的.NET应用程序的类似工具,哪一个在ASP .Net应用程序中被广泛使用?
浏览 0提问于2010-05-15得票数 2
回答已采纳
我们有一个混合了Classic Asp和ASP.NET的遗留应用程序。此旧版应用程序位于我们的主ASP.NET网站的子文件夹中。为了清楚起见,在这个子文件夹中有.asp和.aspx页面的混合。
我们不共享会话,但当从.asp导航到.aspx页面时,我们会在正文中发布足够的信息,以便在ASP.NET中设置会话。
如果用户导航回到.asp页面,那么用户会话仍然在那里,并且一切都在单个web服务器上正常工作。
我们在两个web服务器上测试load balancing,设置如下。
主ASP.NET不使用亲和性,因此由负载均衡器决定使用哪个web服务器。旧版应用程序位于子文件夹中,此子文件夹具有单一关联
浏览 1提问于2014-07-29得票数 0
Infoq发布了关于所有java服务器平台的这个非常严重的漏洞:
通过反序列化远程利用Java零日攻击
asp.net也关心:为什么asp.net也使用序列化呢?这家伙可能没有看过asp.net。
浏览 0提问于2015-11-09得票数 1
回答已采纳
2回答
我参与了基于ASP.NET MVC和ASP.NET WebAPI的基于测试的开发,使用NMock单元测试,但是我编写的大多数单元测试都围绕着测试功能。
从单元测试的角度看 :
是否有任何框架来测试控制器(或任何其他组件)上的访问点操作的漏洞。
从自动化/手动QA测试的角度来看
是否有任何(更喜欢开源的)工具来测试建立在ASP.NET MVC、手动或自动基础上的网站的漏洞,这些漏洞可以用于质量保证?
浏览 4提问于2013-05-12得票数 9
2回答
我想检查和验证我的C#/Asp.net应用程序中的安全威胁,并想知道是否有任何C#,asp.net安全库可以检查常见的攻击,如会话劫持,DoS,脚本注入等?
浏览 1提问于2012-01-03得票数 4
作为安全测试人员,我需要报告并证明第三方应用程序中的安全错误配置对我们来说是一种风险。
以下是设想情况:
1.)有一个第三方的应用程序,客户使用提交他们的申请给我们。我们从第三方应用程序接收数据,并进一步处理它们。
2.)在该特定应用程序中,单击超链接时将显示错误页,其中包含以下信息:
a) Source file path (however it is forbidden when tried to access)
b) .Net framework version which is vulnerable ASP.Net Forms Authentication Bypass
c) IIS
浏览 0提问于2017-11-06得票数 5
任何人都知道好格式的字符串漏洞教程/视频演示如何在web应用程序上进行测试,比如修改URL。我已经看过Vivek的视频从安全管和另一个从CarolinaCon,但我正在寻找一个更详细的/可视化的演示如何将其应用于web应用程序笔试。此外,我还见过其他易受攻击的web应用程序,如Damn vulnerable App和Web山羊,以及其他一些应用程序,但是,除了修改易受攻击的链接和/或程序的代码之外,我似乎找不到攻击者如何通过Web浏览器攻击格式字符串漏洞,以及如何防范这种漏洞。
这一切都源于读取不同的外部扫描报告,这些报告似乎总是包含位于www.domainname.com/default.a
浏览 0提问于2011-12-20得票数 6
在圣诞节期间,我们遇到了一个主要的服务器妥协,当时一个压缩的FTP帐户被用来上传一个.net后门,使它能够访问整个asp.net机器帐户,并包含了数十家电子商务商店。
我们取消了合同,清理了烂摊子,但我想制止这一切。在我的研究中,似乎将.net应用程序限制在中等(不是完全信任)将确保应用程序保持自己的自我,不能在正常情况下进行交互。
但是,由于我们的应用程序是典型的ASP和.NET,除非我也能保护ASP,否则保护.net几乎没有用。
有谁知道我可能需要实现什么样的附加安全性才能以类似的方式保护ASP?
浏览 0提问于2012-01-25得票数 1
2回答
我正在使用ASP.NET,使用WebForm,使用LINQ从xml中读取数据,这是我从web服务中获得的响应。使用搜索功能将这些数据显示在网页上意味着用户将能够搜索集合。(当用户搜索任何关键字时,使用会话来存储和访问数据。)
我应该采取哪些因素来确保我的应用程序的安全性?
浏览 2提问于2012-06-20得票数 1
回答已采纳
1回答
我想在Windows7上的本地IIS上设置像sub1.mydomain.dev和www.mydomain.dev这样的本地域来测试跨域的东西(asp.net应用程序)……有没有办法做到这一点?
浏览 1提问于2010-03-03得票数 0
回答已采纳
1回答
通过数据库表访问权限
、、、
我创建了一个具有访问权限的登录系统(ASP.NET WebForm),并将信息存储在数据库表中。我不使用asp.net的内置特性,比如Forms身份验证和webconfig。我的问题是,我做得好吗?
我从数据库表中检查某个用户是否有访问某个网页的权限,如果没有,我将他重定向到另一个页面/错误页面,通知他/她拒绝访问。
如果我做得还好,请让我听听你的意见/建议,或者我应该使用内置的ASP.NET表单认证功能。
浏览 0提问于2015-12-16得票数 1
回答已采纳
我目前正在考虑IdentityServer4作为我们的web服务的一种选择。但是,由于公司编译器级别的策略,我只能使用VisualStudio 15.0,它不支持.Net核心2(因此,ASP.NET核心2)。因此,我暂时只能使用ASP.Net Core1.x。暂时不可能更改编译器版本。
IdentityServer4确实有一个基于ASP.NEt Core1.x的版本,但似乎不再被维护。
我的问题是:会修复Identityserver4 (ASP.NET Core1.x)中的安全漏洞吗?两个月前,Github存储库似乎仍处于活跃状态。因此,我想知道开发人员将提供什么样的维护。
浏览 2提问于2018-05-29得票数 1
回答已采纳
我有一些使用易受SQL注入攻击的PHP应用程序的经验,并成功地利用了这种漏洞,但从未尝试在基于ASP的web应用程序上这样做。当我们试图找出PHP应用程序是否容易受到SQL注入的攻击时,通常会在输入参数的末尾添加一个单引号,如下所示:
http://example.com/index.php?id=1'
如果我们遇到这样的错误:
您的SQL语法出现错误;请检查与您的MySQL服务器版本对应的手册,以获得在第1行“”附近使用的正确语法。
我们知道它很脆弱。在某些情况下,我们会得到一个空白页或页面上缺少一些数据,这可能意味着它易受攻击。
下面是我的问题:如果我在一个典型的ASP网页的输入参
浏览 0提问于2017-11-19得票数 1
回答已采纳
2回答
我是一名Asp.net程序员,我想知道在软件部分有哪些安全考虑因素,在服务器配置中有哪些是为了防止黑客攻击。
例如,我知道防止SQL注入是软件的一部分,但防止一个网站的污损是在服务器部分。
在编码时必须考虑的安全风险是什么?
浏览 0提问于2011-05-13得票数 0
回答已采纳
我在IIS8上运行ASP.NET应用程序。在安全漏洞CVE-1999-0450中,当我使http具有..pl/..idq/随机文件扩展名时,整个应用程序根路径将如下图所示。通常,未映射/随机文件扩展名由静态文件处理程序处理。
我尝试了以下两个选项,但无法停止公开根路径。
对于静态文件处理程序映射->编辑->请求限制->检查调用处理程序只有当请求映射到文件。
删除静态文件处理程序映射。在这种情况下,任何处理程序都不会处理请求,但仍然公开根路径。
我该怎么避免呢?我正在考虑的一个选项是关闭IIS->Site->Error设置中的远程用户的详细
浏览 0提问于2019-02-14得票数 0
回答已采纳
1回答
我们有一个用API MVC编写的应用程序,它由ASP.NET (非rest,使用剃刀)和API项目(以及其他一些项目,但现在不是重点)组成。
Web中的身份验证使用基本的forms身份验证,而应用程序接口中的身份验证使用OAuth2。
事实证明,在同一个应用程序中使用两种身份验证方法有点难以维护,因此我们决定放弃窗体身份验证,并在Web和API项目中使用OAuth2。
在网络项目中,我们可能不得不将OAuth2令牌存储在cookies中,而不是将它们作为头文件发送。是否可以使用OAuth2来保护“非rest”应用程序?如果是这样的话,这样做是否存在一些安全方面的问题?
浏览 0提问于2016-09-07得票数 8
有没有人知道免费的自动测试工具来测试asp.net网站的安全性、连接池等,我用了netsparker社区版,但功能非常有限。
浏览 1提问于2011-12-07得票数 1
回答已采纳
我读过大量的文章,我们需要编写安全的应用程序。从一开始就防御性地编写并实现所有最佳实践安全建议是至关重要的。
我找不到的是建议清单。我知道SQL注入攻击。但还有什么?
非常特别的一个ASP.NET核心6+ Blazor服务器端应用程序,将运行在Azure web服务。并将通过实体框架访问Azure SQL数据库(因此无需担心注入攻击)。
我需要做什么,而不是做,使应用程序尽可能安全?
我知道这不是一件了不起的事情,但仅限于需要解决的合理数量的问题。是的,一个系统中的任何漏洞都是不好的,但我也不想花一年时间在每一个小问题上变得足够精通,从而永远不发货。
最初要求堆栈溢出,它被认为这个网站可能会更
浏览 0提问于2023-02-09得票数 0
试图通过“byte[]”和Silverlight5中的OpenWriteCompleted将数据上传到ASP.NET。如果数据大小较小,则所有数据都将被正确写入。如果我上传一个500 If的文件,我会得到数据损坏。
如何将500 to的文件上载到ASP.NET ??
注意:我正试图将一个压缩文件上传到我的数据库中的MSSQL (MAX)列中。
浏览 2提问于2013-12-05得票数 0
我已经开发了一个使用asp.net的应用程序,它可以打开放置在网络上的共享文件夹中的文件,当我在本地运行该应用程序时,它可以完美地工作(这意味着它可以打开我点击的任何文件),但托管在IIS后,当我浏览该应用程序时,它会获得共享文件夹中的文件的路径,但无法打开任何文件,有人能在这方面帮助我吗?
我也使用了模拟和所有这些步骤,但都没有解决我的问题:(
正在查找提示性帮助
提前感谢
浏览 2提问于2012-06-23得票数 0
我正在集成一个遗留应用程序(一个ASP.NET MVC 4应用程序)和OpenID连接。一旦我从OIDC提供者那里获得了id_token和access_token,我就需要存储它们。以典型的方式,它们必须从客户端发送到服务器端,因为服务器端必须处理id_token以确定哪个用户提出了请求。我的应用程序没有处理access_token。它只是存储在我的应用程序中,直到我需要向需要JWT身份验证的API发出请求为止。
在我看来,无论是头还是cookie,id_token和access_token都是从客户机和服务器发送的。如果只将id_token和access_token标记为HTTP,是否可以将
浏览 4提问于2017-11-17得票数 4
回答已采纳
换句话说,当我启用/禁用FrontPage服务器扩展2002时会发生什么?提前感谢我已经有了使用.NET Framework1.1和2.0的asp.net web应用程序
浏览 0提问于2010-03-27得票数 0
有人能推荐一些开箱即用的解决方案来保护“经典”ASP应用程序免受跨站点请求伪造吗?我正在寻找那些有实际产品经验的人的建议。特别是,与产品相关的优点、缺点和实现陷阱将非常有用。
ASP应用程序是遗留的,并且计划退出使用,所以我希望找到一个容易集成的解决方案,并且对应用程序的影响最小。
浏览 1提问于2011-05-11得票数 0
回答已采纳
微软昨天在ASP.NET上发布了他们的。
微软使用了什么方法来结束这个载体的生存能力?
浏览 1提问于2010-09-30得票数 11
回答已采纳
我有一个ASP.NET Core应用程序,它独立于我的ASP.NET Core应用程序(UI)。由于几个原因,我不想组合它们,因为将来许多不同的客户机可能需要访问API。
MVC应用程序调用API有两种不同的方式:
在MVC控制器中使用System.Net.HttpClient来填充视图模型。
在进行jQuery AJAX调用时,我认为最好直接调用该API。(注意:我启用了CORS以允许来自MVC应用程序的调用)。这与直接调用API的角度客户机是一样的。
我的问题:
这是我经常做的事情,在不使用AJAX和只是加载视图数据的情况下,直接使用jQuery和控制器中的System.N
浏览 1提问于2017-07-09得票数 2
回答已采纳
1回答
将日期字段设置为空
、、、、
我试图在2005数据库中将日期字段设置为null。
我在asp页面上使用VBScript。
DB中的列允许空。但是,当我试图添加一条记录而不将任何内容传递给date字段,或者尝试将该字段设置为Null时,我会得到以下错误:
提供程序错误“8002000”
类型错配。
/add_client_notes.asp,第142行
第142行是:rs("client_notes_duedate") = client_notes_duedate
以下是所有代码:
<%
clientnotes_id = request("clientnotes_id")
浏览 1提问于2011-05-09得票数 2
回答已采纳
在我们的web应用程序中发生的所有错误都被记录到一个数据库中,我发现一个404错误在上个月发生了数百次。用户尝试访问的页面是"“
该应用程序是一个典型的ASP端站点,通过i-frames包含一些ASP.NET MVC3,尽管从网址判断,这个错误似乎发生在传统的ASP端。
我已经搜索了整个代码(classic和.NET),寻找字符串":/0“,但是我什么也没找到。我对这个错误是如何发生的感到迷惑。这种情况发生得太频繁了,而且太多的用户是故意的。
会有人碰巧知道为什么用户会收到这个错误吗?不幸的是,我只有数据库日志,所以我不是真正的用户如何重现这个错误,我也不知道用户是如何遇到它的
浏览 0提问于2013-05-31得票数 0
回答已采纳
1回答
如上所述,在VS2017中,我的asp.net mvc应用程序仅在刷新和“重新提交”(用于内置搜索)时提交一个空值。所有其他浏览器都能正常工作。谷歌搜索没有产生任何有用的结果。我不知道从何说起。
此外,由于这可能与此相关-我同时不得不在visual studio设置中禁用chrome javascript调试,因为VS将在启用JS调试的情况下冻结。
此问题适用于60.0.3112.101版本(官方版本)(64位)
浏览 15提问于2017-08-15得票数 1
回答已采纳
代码访问安全应该保护ASP.NET应用程序免受哪种类型的恶意攻击?假设是一个非奇异的场景,一个运行在它自己的机器上的ASP.NET应用程序,在那里你可以完全控制应用程序和服务器。
浏览 1提问于2012-03-06得票数 0
回答已采纳
安装程序:我有一个nginx反向代理,它是ASP.NET应用程序的负载均衡器。
问题是当ASP.NET应用程序试图访问外部应用程序时,SSL握手失败。我认为在外部服务器和nginx反向代理之间存在SSL/TLS连接。因此,基本上,外部网站的SSL证书不被nginx反向代理所识别。
如何在RHEL上配置nginx以识别服务器证书?它是nginx配置还是只使用安装在RHEL上的客户端证书?
浏览 0提问于2014-11-25得票数 0
回答已采纳
我试图从asp.net的角度检查客户端在尝试与我的应用程序交互时使用什么安全协议。我有不同的应用程序托管的asp.net web应用程序,asmx,asp.net mvc,wcf服务。请建议我如何知道请求是否通过ssl/ tls协议。
我的意图是告诉我的应用程序用户使用tls,而不是因为贵宾狗漏洞而使用ssl3。
浏览 1提问于2015-01-21得票数 7
我有一台电脑A,它承载着不同类型的东西:
一个网站(使用C#和ASP.Net开发)
应用程序
我们的客户可以访问该网站,有时,他们会希望重新启动计算机A(知道它将在重新启动期间切断网站)。
我的问题很简单:它是否存在这样一种方式:
只需单击ASP.Net页面上的一个按钮即可重新启动计算机?我怎样才能做到呢?
同样,当单击ASP.Net页面上的按钮时,是否可以执行某些批处理脚本(在计算机A上执行)?
谢谢你的帮忙!
浏览 2提问于2013-02-12得票数 1
1回答
新的ASP.NET 5即将面世,其中.net平台是特定于应用程序的,并且独立于系统的其余部分。
我的问题是,如果存在像0-day这样的安全风险,您将被强制对在易受攻击的版本上运行的所有应用程序实例应用补丁。如何为所有应用程序提供升级,并确保您没有错过任何东西?因为操作系统再也帮不上忙了。
浏览 1提问于2015-12-15得票数 0
1回答
我在C#中创建了一个windows服务,它执行得很好。我有一个ASP.NET应用程序,我正在尝试访问(启动/停止)它。它在我的本地机器上正常工作,当我将它部署到我的服务器上时,它不能工作。当我单击按钮启动“停止”时,服务会出现一个错误:
访问被拒绝错误消息‘
浏览 1提问于2013-02-09得票数 0
回答已采纳
我想保护一个ASP.NET网络应用程序免受黑客攻击。是否有一个特定于ASP.NET的任务列表,专门编写代码以使ASP.NET更安全?超出了上提到的内容。我对如何避免跨站请求伪造和跨站脚本的代码示例的具体步骤感兴趣。
我知道如何使用SQL参数进行sql注入,在连接到SQL server时进行Windows身份验证,以及在服务器上验证表单的输入。
浏览 1提问于2009-10-01得票数 6
回答已采纳
当我在服务器上安装名为pdflatex.exe的应用程序时,我以管理员身份登录。此应用程序充当从LaTeX输入文件到Pdf文件的转换器。
我托管了一个运行在带有Asp.net的应用程序池标识下的Load User Profile = True MVC 3应用程序。
Asp.net MVC 3代码包含一个使用System.Diagnostic.Process实例执行pdflatex.exe的代码,如下所示:
Process p = new Process();
p.EnableRaisingEvents = true;
p.Exited += n
浏览 3提问于2011-03-09得票数 0
回答已采纳
我们有一个使用ASP.NET Identity的实时ASP.NET MVC5网站。它似乎是对aspnetusers表的SQL注入攻击的受害者。PasswordHash和SecurityStamp列值都附加了超文本标记语言-在隐藏的div标记中以指向毒品站点的链接的形式(显示:无)。
这将阻止任何用户登录到我们的网站。
唯一需要注意的是,我们允许Facebook用户使用他们的Facebook帐户进行身份验证。
我对ASP.NET MVC和Identity非常陌生,也没有真正修改过我的项目中提供的任何授权代码。有什么我可以修改的,以防止未来的攻击吗?
浏览 2提问于2016-05-23得票数 0
我目前正在使用在mac上开发一个ASP.NET应用程序。我试图使用"mssql扩展“来获得与Server数据库的连接。
我一步一步地跟随着。但是,我总是收到如下所示的错误消息:
连接失败: System.Data.SqlClient.SqlException:在建立到Server的连接时发生了与网络相关的或特定于实例的错误。找不到或无法访问服务器。验证实例名是否正确,以及Server是否配置为允许远程连接。(提供程序: TCP提供程序,错误: 40 -无法打开到Server的连接)
谢谢你提前帮忙。
浏览 3提问于2017-01-02得票数 3
好的,所以我正在开发一个web应用程序,它已经开始变得更加公正了。然后,我读了一个关于的博客,我对它究竟是什么问题感到有点困惑。我想澄清一下
问题1:这是问题/漏洞吗?
如果我的站点返回包含敏感信息的' get‘请求的json数据,那么该信息可能会落入错误的手中。
我使用JSON,返回ASP.NET的方法要求您显式地允许json请求。我猜他们是在试图从这个安全漏洞中拯救那些不熟悉的人。
问题2:在通过互联网发送响应时,是否通过嗅探/读取响应来发生劫持?SSL能减轻这种攻击吗?
问题3:让我自己问了这个问题。如果我将页面状态存储在页面的本地javascript对象中,有人会劫持该
浏览 11提问于2011-07-21得票数 1
回答已采纳
1回答
微软.NET Bounty程序声明“.NET框架中的漏洞,或运行在.NET框架(Webforms或MVC)上的任何ASP.NET框架中的漏洞”超出了范围。
.NET框架是否被另一个赏金程序所覆盖?
或者只是被认为是“低严重程度或超出范围”?如果这是真的,它对它的安全意味着什么?
浏览 0提问于2021-11-16得票数 1
我调查了一种情况,即托管在IIS服务器上的300+网站被黑客攻击。经过调查,我找到了一个包含恶意ASP-经典代码的文本文件。该文件名为dz.asp;.txt,我刚刚意识到IIS愉快地执行了这个文件,没有抱怨。
所以我的问题是:这种行为正常吗?难道IIS不应该把这个文件当作.txt文件而不是.asp吗?
浏览 0提问于2012-08-26得票数 2
回答已采纳
我有一个旧的asp.net 1.0网站,抛出一个错误,在发送电子邮件。
错误:
异常详细信息: System.Security.SecurityException:该程序集不允许部分受信任的调用方。
有没有一种方法可以在不重新编译或更改代码的情况下修复这个问题?
主机不允许完全信任。
浏览 0提问于2009-11-04得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
