【正文】 確,不允許“ “ “ 的輸出。缺點(diǎn)：應(yīng)用范圍少。防御手段四：轉(zhuǎn)換特殊符號(hào)的編碼形式保護(hù)級(jí)別：★★★★★描述:如：頁面 meta content=輸出內(nèi)容 name=Keywords / 的輸出。quot。對(duì)于js腳本的輸出，要確保輸出代碼中不包含跨站腳本，注意“‘ ”和“”“的輸出，以免被組合成危險(xiǎn)的js代碼,還要注意對(duì)轉(zhuǎn)義符號(hào)的輸出“\”。又例如下面例子，變量a 和 b 是由用戶輸入,如果用戶輸入a=“\” ，b=“。//”，輸入結(jié)果后如下：scripta=\。alert(/xxs/)。b=” ；alert(/xss/) 后面的注釋了。 對(duì)于xml數(shù)據(jù)的輸出，要確保數(shù)據(jù)中是否有XML不允許的字符，要對(duì)特殊字符進(jìn)行轉(zhuǎn)換才能輸出。如：標(biāo)簽的數(shù)據(jù)源，輸出時(shí)沒有對(duì)特殊符號(hào)進(jìn)行處理，造成輸出出錯(cuò)。優(yōu)點(diǎn)：防止因殊符號(hào)而出現(xiàn)錯(cuò)誤，或跨站。應(yīng)用舉例：動(dòng)易SiteFactory系統(tǒng)中，以確保輸出的準(zhǔn)確性。防御手段五：其他要注意的地方保護(hù)級(jí)別：★★★★描述：除上述輸出外，還有一些特殊的輸出形式，應(yīng)盡量避免使用，或者處理編碼后再使用。([name])。 ([name])。([name].Values[name])。%=myVariable %4.hello39。/script。xss39。/script://xxx39。xss39。var/ a=39。對(duì)輸出數(shù)據(jù)到輸出數(shù)據(jù)的對(duì)比，看是否出現(xiàn)問題。三、什么是SQL注入通過遞交參數(shù)構(gòu)造巧妙的SQL語句，從而成功獲取想要的數(shù)據(jù)。2. 從具體而言，SQL注入可分為五大類，分別是：數(shù)字型注入、字符型注入、搜索型注入（like）、in型的注入、句語連接型注入。 從應(yīng)用來說，要特別注意IP、搜索、批量刪除、從數(shù)據(jù)庫(kù)轉(zhuǎn)到數(shù)據(jù)庫(kù)等地方的SQL注入。如何防止SQL注入 SQL注入產(chǎn)生的原因看下面檢查登陸的SQL語句：SqlCommand cmd = new SqlCommand(SELECT * FROM PE_USERS WHERE UserName = 39。 + UserName + 39。 + PassWord + 39。由于沒有對(duì)UserName和PassWord進(jìn)行任何驗(yàn)證，如果UserName=” admin’ OR 1=1“所執(zhí)行的SQL語句就成了：SELECT * FROM PE_USERS WHERE UserName=’admin’ OR 1=1—‘ AND UserPassword=’’這就造成了SQL注入，條件永遠(yuǎn)為真，也就不用密碼也能登陸成功。 使用參數(shù)化查詢的好處：可以防止sql注入式攻擊，提高程序執(zhí)行效率。中有一個(gè)參數(shù)UserName, 使用Prarmeter對(duì)象，通過它把參數(shù)添加到Command對(duì)象上，這樣就獲得參數(shù)化查詢。public SqlParameter Add(string parameterName, SqlDbType sqlDbType, int size)。在某些地方,也可似指定參數(shù)的長(zhǎng)度:int size。優(yōu)點(diǎn)：有效地防止了SQL注入的產(chǎn)生。應(yīng)用舉例：動(dòng)易SiteFactory系統(tǒng)中，對(duì)于比較固定的地方，我們采用比較安全的存儲(chǔ)過程來實(shí)現(xiàn)。所有操作數(shù)據(jù)庫(kù)的地方，都能在命名空間 。防御手段二:過濾與轉(zhuǎn)換保護(hù)級(jí)別：★★★★描述:如：private string SafeSqlLiteral(string inputSQL){, 39。)。 對(duì)于搜索的地方LIKE 子句，要注意，如果要使用 LIKE 子句，還必須對(duì)通配符字符進(jìn)行轉(zhuǎn)義：s = ([, [[])。s = (_, [_])。 對(duì)于in類型，要轉(zhuǎn)換成規(guī)格的數(shù)字串或字符串。 要盡量少用語句連接形式寫SQL語句，要用到的地方要確保連接語句的安全性，或在白名單內(nèi)，或限制很短的長(zhǎng)度，以防止SQL語句構(gòu)造的危險(xiǎn)。缺點(diǎn)：容易遺漏，對(duì)于某些地方還是不能過濾，如 order by + 變量應(yīng)用舉例：動(dòng)易SiteFactory系統(tǒng)中，對(duì)于不能使用參數(shù)化查詢的部份，我們使用過濾函數(shù)處理，如：FilterBadChar函數(shù)。防御手段三:白名單保護(hù)級(jí)別：★★★★描述:優(yōu)點(diǎn)：安全可靠缺點(diǎn)：應(yīng)用范圍小 對(duì)于不能參數(shù)化查詢或者無法限制變量類型和范圍的情況，使用過濾的手段來處理。這種SQL注入比較隱蔽，所以要特別注意。應(yīng)用舉例：參見MSDN雜志優(yōu)點(diǎn)：在一定的程序上有效地防止通過URL方式的注入。應(yīng)用舉例：防御手段三：全局過濾SQL關(guān)鍵字過濾保護(hù)級(jí)別：★★★描述：（可能存在過濾不完全和限制程序開發(fā)的問題）優(yōu)點(diǎn)：能用于不能參數(shù)化而又難過濾的地方，如 table的連接。應(yīng)用舉例：動(dòng)易SiteFactory系統(tǒng)中，對(duì)于不能使用參數(shù)化查詢的部份，我們使用過濾函數(shù)處理，如：FilterSqlKeyword函數(shù)，主要應(yīng)用在標(biāo)簽參數(shù)的傳入的地方?？缯灸_本攻擊1.跨站腳本攻擊(通常簡(jiǎn)寫為XSS)是指攻擊者利用網(wǎng)站程序?qū)τ脩糨斎脒^濾不足，輸入可以顯示在頁面上對(duì)其他用戶造成影響的HTML代碼，從而盜取用戶資料、利用用戶身份進(jìn)行某種動(dòng)作或者對(duì)訪問者進(jìn)行病毒侵害的一種攻擊方式。2. 入侵者便通過技術(shù)手段在某個(gè)頁面里插入一個(gè)惡意HTML代碼，例如記錄論壇保存的用戶信息（Cookie），由于Cookie保存了完整的用戶名和密碼資料，用戶就會(huì)遭受安全損失。入侵者運(yùn)用腳本就能把用戶信息發(fā)送到他們自己的記錄頁面中，稍做分析便獲取了用戶的敏感信息。有效防止跨站腳本攻擊，是WEB程序是否安全的一個(gè)重要標(biāo)準(zhǔn)。如何防止跨站腳本攻擊對(duì)于不支持HTML代碼的地方，可用編碼輸出。優(yōu)點(diǎn)：安全可靠。應(yīng)用舉例：動(dòng)易SiteFactory系統(tǒng)中，：HtmlDecode和HtmlDecode，這些函數(shù)更容易地控制編碼的輸出。防御手段二：使用UBB編碼 保護(hù)級(jí)別：★★★★描述：它能有效的限制HTML代碼的使用，增強(qiáng)系統(tǒng)輸出的安全性。缺點(diǎn)是：只支持小量特定html代碼，編輯器功能小。輔助防御方式防御手段一: iframe security=restricted保護(hù)級(jí)別：★★★★描述：防御手段二: HttpOnly保護(hù)級(jí)別：★★★★描述：優(yōu)點(diǎn)：有效保護(hù)了用戶Cookie信息。 動(dòng)易SiteFactory系統(tǒng)中，所有登陸驗(yàn)證的地方， = true, 設(shè)置Cookie的HttpOnly屬性，這些都應(yīng)用于用戶登陸成功的地方。防御手段三: 字符過濾保護(hù)級(jí)別：★★★★描述： 通過函數(shù)進(jìn)行過濾，能有效防止常見腳站腳本的跨站攻擊。但過濾可能存在不完全的情況。優(yōu)點(diǎn)：支持HTML，有效防止大部份攻擊代碼。應(yīng)用舉例：但函數(shù)能防止目前主流的XSS攻擊。2）傳播的途徑：3）攻擊的危害：同時(shí)也能針對(duì)單個(gè)用戶做滲透攻擊，劫持他所有WEB應(yīng)用的身份，讀取運(yùn)行本地的任意敏感文件。當(dāng)Active X等溢出漏洞不再風(fēng)光的時(shí)候，以后利用XSS漏洞針對(duì)瀏覽器進(jìn)行劫持攻擊將是一個(gè)大的趨勢(shì)。跨站腳本攻擊，越發(fā)體現(xiàn)出他的危險(xiǎn)性，軟件的漏洞加速了xss攻擊的危險(xiǎn)和加劇了這樣攻擊的利用。更多關(guān)于XSS攻擊的文章請(qǐng)看：五、什么是跨站請(qǐng)求偽造盡管聽起來像跨站腳本（XSS），但它與XSS非常不同，并且攻擊方式幾乎相左。與XSS攻擊相比，CSRF攻擊往往不大流行（因此對(duì)其進(jìn)行防范的資源也相當(dāng)稀少）和難以防范，所以被認(rèn)為比XSS更具危險(xiǎn)性?？缯菊?qǐng)求偽造的危害如：給自己提升權(quán)限，增加管理員等。 Bob在自己的電腦上剛剛查看完自己的銀行A賬戶余額，然后比較無聊就跑到一個(gè)公開的BBS上灌水，當(dāng)他看到一篇“銀行A的內(nèi)部照片”的帖子，很有興趣的打開這個(gè)帖子想看看自己信任的銀行A的內(nèi)部圖片是啥樣子的，殊不知，這其實(shí)是一個(gè)attacker精心設(shè)計(jì)的騙局。只是對(duì)這些并不是十分滿意的照片搖搖頭，就關(guān)了這個(gè)帖子。如果Bob的銀行在cookie中保存他的授權(quán)信息，并且此cookie沒有過期，那么當(dāng)Bob的瀏覽器嘗試裝載圖片時(shí)將提交這個(gè)取款form和他的cookie，這樣在沒經(jīng)Bob同意的情況下便授權(quán)了這次事務(wù)。如何防止跨站請(qǐng)求偽造防御手段一：ViewStateUserKey（對(duì)應(yīng)Post方式）保護(hù)級(jí)別：★★★★描述:如果攻擊者使用視圖狀態(tài)創(chuàng)建預(yù)先填充的 Web 頁（.htm 或 .aspx），則發(fā)生跨站請(qǐng)求偽造攻擊。例如，包含 100 種商品的購(gòu)物車頁面。服務(wù)器不知道該視圖狀態(tài)是由攻擊者生成的。為 屬性設(shè)置唯一適合的值，然后作為防止跨站請(qǐng)求偽造攻擊的對(duì)策。通常，它是用戶名或標(biāo)識(shí)符。當(dāng)用戶向服務(wù)器提交頁面時(shí)，便使用攻擊者的用戶名對(duì)該頁進(jìn)行初始化。優(yōu)點(diǎn)：有效防止POST方式的跨站請(qǐng)求偽造。 動(dòng)易SiteFactory系統(tǒng)中，在后臺(tái)操作等重要部份，都設(shè)置了ViewStateUserKey驗(yàn)證。 { { { } // 檢查頁面權(quán)限通過將正常請(qǐng)求的頁面+私鑰+用戶SessionID進(jìn)行哈希加密，通過URL傳遞到操作頁面，保證來訪頁面是指定用戶通過指定操作鏈接來的，從而防止了請(qǐng)求偽造，增加了安全性。3．2輔助防御方式防御手段一：驗(yàn)證直接地址鏈接和外站鏈接保護(hù)級(jí)別：★★★描述：優(yōu)點(diǎn)：簡(jiǎn)單的防止用戶直接對(duì)頁面請(qǐng)求造成的管理操作。應(yīng)用舉例： 的noCheckUrlReferrer 配置，設(shè)定可以直接訪問的頁面。越權(quán)操作1. 越權(quán)操作是指對(duì)系統(tǒng)進(jìn)行超越自己權(quán)限的操作。2.3. 對(duì)于涉及到用戶和管理員的操作，首先必須檢查操作的合法性。特別對(duì)會(huì)員的自身操作，如刪除自己的文章等操作，要檢查數(shù)據(jù)是否屬于操作者本人，是否有權(quán)限執(zhí)行操作。如：隱藏的TextBox,Label,Cookie等。 動(dòng)易SiteFactory系統(tǒng)中，對(duì)于每一操作， 的 UserPermissions 類相應(yīng)函數(shù)判斷用戶是否有權(quán)限進(jìn)行操作。IO操作安全上傳采用白名單驗(yàn)證，確保上傳文件類型的正確性，也防止上傳系統(tǒng)可執(zhí)行文件，對(duì)系統(tǒng)造成危險(xiǎn)。所有的IO操作都要進(jìn)行權(quán)限判斷、類型檢查，避免惡意用戶上傳木馬文件或者刪除、篡改系統(tǒng)文件。文件下載頻道要注意下載文件類型的檢查，防止輸入“\..\ ”形式的地址，以下載本站源文件。應(yīng)用舉例：對(duì)于文件的命名使文件后輟固定而不能被修改。緩存泄漏什