一直认为ASP.NET是最安全的,可是最近听说ASP.NET有一些比较大的漏洞!!谁了解呀给我讲讲或是有这方面的链接帮忙告诉一个,急于想了解!!!!
解决方案 »
- RDLC 统计问题(得到金额最大的订单号)
- 关于 blend 4 的问题
- 菜鸟求助!像我帖子图中的博客文章排列是用什么控件实现的呢?
- 找不到类型或命名空间名称“clsAddUser”(是否缺少 using 指令或程序集引用?)
- 百度对中文的编码方式是什么?
- 请教window.open()函数
- 一個簡單的問題
- try{}catch (OracleException pEx){throw;} 好象无法捕获异常!
- 为什么不能动态改变DataTable的列名
- 用VB.net怎样判断cookie不是一个对象?
- 请教用三层结构做c#+asp.net全站程序最先要从哪下手?是不是要先做好框架啊?
- 为什么我安装VS .NE的时候总是装不上?跪求高手指点一下了!
ASP.NET Form Authentication安全漏洞及对策
在NT-Bugtraq的邮件列表上首先报告的Security bug in .NET Forms Authentication适用于ASP.NET 1.0 (RTM, SP1, SP2, SP3)和ASP.NET 1.1 (RTM, SP1). 当Form Authentication被使用时,匿名用户在试图访问被保护的页面如http://localhost/WebApplication2/secret.aspx时会被redirect到登录网页如http://localhost/WebApplication2/login.aspx?ReturnUrl=%2fWebApplication2%2fsecret.aspx. 但是如果使用Mozilla,匿名用户可以这样未经认证就访问被保护的页面:http://localhost/WebApplication2\secret.aspx;对IE,可以使用%5C达到类似的效果:http://localhost/WebApplication2%5Csecret.aspx 微软在10月5日发布了What You Should Know About a Reported Vulnerability in Microsoft ASP.NET网页以提供针对此安全漏洞的对策。当前的对策主要是如KB887459所描述的那样在Global.asax或其Code-Behind中在Application_BeginRequest中增加检查 if (Request.Path.IndexOf('\\') >= 0 || System.IO.Path.GetFullPath(Request.PhysicalPath) != Request.PhysicalPath) { throw new HttpException(404, "not found"); }
显然每个Application都需要有这样的检查以应对此安全漏洞。微软还会提供其他的对策,请关注What You Should Know About a Reported Vulnerability in Microsoft ASP.NET网页更新。 对ASP.NET 2.0 Beta1,并没有此漏洞而是得到404错误。 贴子以"现状"提供且没有任何担保也没有授予任何权利发表于 Thursday, October 07, 2004 1:53 AM