准备ASP.Net网站进行渗透测试

多年来,我已经开发了一些我开发的用于客户渗透测试的网站.大多数情况下,结果返回时突出显示的问题与ASP .Net的默认行为有关,例如可能的跨站点脚本攻击等.

是否有任何关于ASP .Net应用程序中默认存在哪些漏洞的好文章,其次是否有任何好的检查表可以帮助提前准备一个站点？

解决方法

一个很好的页面,有很多关于渗透的文章：
http://www.cgisecurity.com/pentest.html

尝试渗透到我的网站的一些方法.

最常见的

> sql injections,所以我检查并阻止在url行上使用“select”命令调用我的站点的用户.我还检查了其他sql命令.
>忘记了javascript filebrowser我最近看到他们搜索的链接如下：wwwmysite.com/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/tinybrowser.php?type=fileu0026amp;folder=

为了找到它们,我监视“找不到页面”事件.当然,如果找到页面,那么它们会渗透.如何更有可能看到失败的尝试并看到他们正在寻找什么.

Oracle攻击

这些天我也看到了很多甲骨文攻击.我发现它们并使用此代码阻止攻击者的完整IP：CryptographicException: Padding is invalid and cannot be removed and Validation of viewstate MAC failed

偷饼干

我也按照这个问题的答案：Can some hacker steal the cookie from a user and login with that name on a web site?
要点：始终在登录cookie上使用ssl加密(requireSSL = true),而不是在cookie上放置角色(cacheRolesInCookies = false).

先进的阻止

我还阻止系统/程序/ iis内部列出黑名单的ips,但过去我使用过PeerGuardian.在那里你可以找到许多可以阻止高级的坏IP列表.关于这些糟糕的ips,我唯一的注意事项是我永远不会阻止它们,但仅仅持续了几天.坏ips块也帮我收集了数百封垃圾邮件.
http://phoenixlabs.org/pg2/

调查日志

我认为人们可以通过多种方式思考并尝试渗透到您的网站上.重点是如何预测它们并在发生之前记录它们,并始终采用更好的机制来避免它们.正如我所说,我监视未找到的页面,以及页面抛出的内部错误.这两种方法向我展示了很多渗透尝试.

上传脚本.

如果您可以访问上传文件,图像和其他内容,请确保它们无法在上传目录中运行.这可以通过双重检查文件的扩展名来完成,也可以通过从服务器本身禁用该目录上的程序和脚本的运行来完成,也可以通过在上传目录中放置web.config来实现：

<configuration>
    <system.web>
      <authorization>
        <deny users="*" />
      </authorization>
    </system.web>
</configuration>

阅读一个案例：
I’ve been hacked. Evil aspx file uploaded called AspxSpy. They’re still trying. Help me trap them

（编辑：安卓应用网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!