首页 诗词 字典 板报 句子 名言 友答 励志 学校 网站地图
当前位置: 首页 > 教程频道 > 网站开发 > asp.net >

ASP.NET登录安全性有关问题

2012-06-01 
ASP.NET登录安全性问题使用存储过程 DL_CheckUser当页面用户名和密码全部输入后login.aspx页面部分代码if(

ASP.NET登录安全性问题
使用存储过程 DL_CheckUser
当页面用户名和密码全部输入后
login.aspx页面部分代码
if(txtusname.text!=string.empty&&txtpwd!=string.empty)
{
  session["userName"]=username;
  response.write("default.aspx");
}

今天使用了IBM的appscan扫描工具进行扫描,发现如下错误
以前一般都是这么写,现在问题来了

1. 使用 SQL 注入的认证旁路 
 (txtPassword) http://xxx.vicp.net/login.aspx 
 (txtUserName) http://xxx.vicp.net/login.aspx 
针对这个问题的解决方案
若干问题的补救方法在于对用户输入进行清理。 
通过验证用户输入未包含危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令,等等。 

2.会话标识未更新
针对这个问题的解决方案
始终生成新的会话,供用户成功认证时登录。 
防止用户操纵会话标识。 
请勿接受用户浏览器登录时所提供的会话标识


第一个,我已经使用存储过程,出于客户端攻击,网上查了下资料,列如:
HashMethod hm = new HashMethod();
string userPassword=Server.HtmlDecode(hm.Encrypto(txtPassword.Text.Trim()));
密码经过加密,而且使用Server.HtmlDecode()方法获取客户端的值,这样还是没有通过他的安全检验。。。

第二个,每次生成新的会话,不是很了解这句话的意思。请安全方面的高手指点~大家也可以讨论下 一般登录要多安全才能通过这些安全软件的扫描。。。

http://www.fsnws.com/html/net/anquanxiangguan/20090826/83.html
IBM Rational AppScan下载,7z文件格式,破解版的,大家可以去下载扫描下自己的web应用程序。

IBM Rational AppScan Standard Edition V7.8.1多语言版本,最关键是支持简体中文,IBM Rational AppScan 是很不错的Web应用安全扫描工具,和Acunetix Web Vulnerability Scanner以及HP Webinspect相比它支持中文,appscan在每次扫描到漏洞后,会给出相应的java/.net/php等的解决方案,让你一目了然。内含appscan破解补丁,先用keygen生成证书,再运行破解程序,就可以成功导入证书了。破解之后可以升级软件。



[解决办法]
2.会话标识未更新 
针对这个问题的解决方案 
始终生成新的会话,供用户成功认证时登录。 
防止用户操纵会话标识。 
请勿接受用户浏览器登录时所提供的会话标识 


一般理解是这样:你的登录页面会有一个session id,当你登录成功后,应该使用新的session id而不保持登录页面的session id,这样即使别人在网络上截获了你的登录页面的session id,仍然无法伪造客户身份进入系统。
如果使用同样的session id,则可能被截获并且伪造客户身份进入系统.

你去看看微软的windows live登录过程就大概知道了,是有一层转接的

[解决办法]
登录数据参数查询信息
数字证书
减少使用cookie
[解决办法]
如果您的客户接受强身份认证方式,那么客户端可以采用USBKey的方式登录、挑战-应答的认证方式
[解决办法]
不要用SESSION认证,用 身份验证

读取数据用SQL参数化读取

热点排行