当前位置：文江博客话题详情

担心 XSS、CSRF、sql 注入、cookie 窃取是否足以覆盖网络安全？

发布于 2024-11-03 03:18:12 字数 477 浏览 1 评论 0原文

在不安全的 WiFi 环境中，未受损计算机上的 Web 应用程序很容易受到 XSS、CRSF、sql 注入攻击和 cookie 窃取。

为了防止这些安全问题，有以下补救措施

sql 注入：一个好的数据映射器（如 linq-to-sql）不存在 sql 注入的风险（我天真的相信这一点吗？）
CSRF：每个表单帖子都经过验证<%:Html.AntiForgeryToken() %> （这是asp.net mvc环境中的令牌，存储在cookie中并在服务器上验证）
XSS：每个允许发布html的表单都被转换，只允许bb代码，其余的都被编码。所有可能的保存操作都是通过 post 事件完成的，因此流氓 img 标签应该不会影响
cookie 窃取：https

我现在不会受到基于网络的黑客攻击（正确实施时）吗？或者我在网络开发中遗漏了一些其他安全问题？（除了操作系统平台或其他软件中可能存在的漏洞）

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

两个我 2024-11-10 03:18:12

最简单的答案是“不，你并非刀枪不入——没有人是刀枪不入！”

这是一个好的开始，但您还可以做一些其他事情。您没有提到的主要问题是根据白名单验证不受信任的数据，这一点很重要，因为它涉及 SQLi 和 XSS 等多种漏洞利用。查看 OWASP 前 10 名对于 .NET 开发人员，第 1 部分：注入，特别是有关“所有输入必须根据可接受值范围的白名单进行验证”的部分。

接下来，您应该对连接到 SQL Server 的帐户应用最小权限原则。请参阅上一个链接中该名称下的标题。

鉴于您正在使用 ASP.NET，请确保请求验证保持打开状态，如果您绝对需要禁用它，只需在页面级别执行即可。有关此内容的更多信息，请参阅请求验证、DotNetNuke 和设计乌托邦。

对于输出编码，最主要的是确保您针对正确的上下文进行编码。 HTML 编码！= JavaScript 编码！= CSS 编码。有关此内容的更多信息，请参阅 OWASP Top 10 .NET 开发人员第 2 部分：跨站脚本 (XSS)。

对于 cookie，将其设置为仅 HTTP，并且如果可能，仅允许安全地提供它们（如果您愿意仅通过 HTTPS 运行）。尝试将您的 web.config 通过 web.config 安全分析器，这将帮助您指出正确的方向。

另一种 CSRF 防御——尽管会影响可用性——是验证码。显然你想谨慎使用它，但如果你有任何想要保护的真正关键的功能，这会很快阻止它。更多内容请参见 OWASP Top 10 for . NET 开发人员第 5 部分：跨站点请求伪造 (CSRF)。

除此之外，听起来您还了解许多重要原则。它不会让你无懈可击，但这是一个好的开始。

回复收藏 0 原文

热血少△年 2024-11-10 03:18:12

我现在不会受到基于网络的黑客攻击吗？

因为，无论你有多优秀，每个人都会犯错误，答案是否定的。您几乎肯定忘记清理某些输入，或使用某些防伪令牌。如果您现在还没有，随着您的应用程序变得越来越大，您或其他开发人员将会这样做。

这是我们使用框架的原因之一 - 例如，MVC 将自动生成反 CSRF 令牌，而 LINQ-to-SQL（如您所提到的）将清理数据库的输入。因此，如果您尚未使用将反 XSS 和反 CSRF 措施设为默认值的框架，那么您应该立即开始。

当然，这些可以保护您免受这些特定威胁的侵害，但是永远不可能抵御所有威胁。例如，如果您的 SQL 连接密码不安全，那么有人可能会暴力破解您的数据库密码并获得访问权限。如果您不保持 .Net/SQL-Server/所有内容的版本保持最新，您可能会成为在线蠕虫的受害者（即使您这样做，仍然有可能成为零日漏洞）。

甚至还有一些软件无法解决的问题：脚本小子可能会对您的网站进行 DDOS。您的服务器公司可能会破产。一个阴暗的竞争对手可以简单地将树篱剪带到您的互联网线路上。你的仓库可能会被烧毁。开发人员可以将源代码出售给俄罗斯的一家公司。

再说一次，重点是，您不可能抵御所有的威胁 - 您只能抵御特定的威胁。