web开发注意事项
一、Web開(kāi)發(fā)注意事項(xiàng)
l?輸出JSON問(wèn)題。
拼接JSON字符串,有些特殊字符需要替換掉源代碼:
????????public?static?string?ToJson(this?string?s) {
????????????StringBuilder?sb =?new?StringBuilder();
????????????for?(int?i = 0; i < s.Length; i++) {
????????????????char?c = s.ToCharArray()[i];
????????????????switch?(c) {
????????????????????case?'\"': sb.Append("\\\"");?break;
????????????????????case?'\\': sb.Append("\\\\");?break;
????????????????????case?'/': sb.Append("\\/");?break;
????????????????????case?'\b': sb.Append("\\b");?break;
????????????????????case?'\f': sb.Append("\\f");?break;
????????????????????case?'\n': sb.Append("\\n");?break;
????????????????????case?'\r': sb.Append("\\r");?break;
????????????????????case?'\t': sb.Append("\\t");?break;
????????????????????default: sb.Append(c);?break;
??????????????? }
??????????? }
????????????return?sb.ToString();
??????? }
如果未替換這些特殊字符生成的JSON不會(huì)被正確解析。
推薦使用NET提供的JavaScriptSerializer對(duì)象生成JSON字符串。
源代碼:
????????public?static?string?ToJson(this?object?obj){
????????????return?ToJson(obj,?null);
??????? }
????????public?static?string?ToJson(this?object?obj,?IEnumerable<JavaScriptConverter> jsonConverters) {
????????????JavaScriptSerializer?serializer =?new?JavaScriptSerializer();
????????????if?(jsonConverters !=?null) serializer.RegisterConverters(jsonConverters ???new?JavaScriptConverter[0]);
????????????return?serializer.Serialize(obj);
??????? }
l?XXS攻擊。
這篇文章很全面:http://ha.ckers.org/xss.html
數(shù)據(jù)從數(shù)據(jù)庫(kù)讀出來(lái)顯示的時(shí)候一定要過(guò)濾。源代碼:
????????public?static?string?UnHtml(this?string?htmlStr) {
????????????if?(string.IsNullOrEmpty(htmlStr))?return?string.Empty;
????????????return?htmlStr.Replace("\"",?"\\\"").ShowXmlHtml().Replace(" ",?" ").Replace("\n",?"<br />");
??????? }
????????public?static?string?ShowXmlHtml(this?string?htmlStr) {
????????????if?(string.IsNullOrEmpty(htmlStr))?return?string.Empty;
????????????string?str = htmlStr.Replace("&",?"&").Replace(">",?">").Replace("<",?"<");
????????????return?str;
??????? }
存在此漏洞別人可掛馬/記錄鍵盤(pán)操作,并發(fā)送到指定的信箱/可彈廣告/==。
l?Cookie/Session/ViewState數(shù)據(jù)存放需要加密。
代碼請(qǐng)參考:
C#.NET COOKIE操作?KEY使用MD5加密,Value使用AES加密
http://www.cnblogs.com/livexy/archive/2010/07/05/1771286.html
C#.Net Session操作?Key使用MD5加密,Value使用DES加密
http://www.cnblogs.com/livexy/archive/2010/07/05/1771288.html
C#.NET?加密解密:AES/DES/Base64/RSA/MD5/SHA256
http://www.cnblogs.com/livexy/archive/2010/07/05/1771285.html
l?上傳圖片漏洞。
這種漏洞的主要解決辦法是:讓圖片目錄無(wú)執(zhí)行權(quán)限。
將圖片目錄放在非站點(diǎn)下。建一個(gè)獨(dú)立站點(diǎn)指向圖片目錄。
IIS7處理程序映射:
?
?
?
IIS6需要設(shè)置:只讀和無(wú)執(zhí)行權(quán)限。禁用所有Web服務(wù)擴(kuò)展。
l?備份文件時(shí)的小漏洞,備份重要文件時(shí)擴(kuò)展名不要使用.bak/.txt之類(lèi)的,防止別人下載。備份文件請(qǐng)不要上傳到服務(wù)器。
l?登錄漏洞
驗(yàn)證用戶是否登錄最好的作法是,先按登錄名,從數(shù)據(jù)庫(kù)查詢到用戶的ID和密碼。在代碼里比較登錄密碼是否正確。不要直接查詢用戶名和密碼在表里是否存在。
l?防止頁(yè)面被另存為
HTML代碼里加:<NOSCRIPT><IFRAME SRC="*.html"></IFRAME></NOSCRIPT>
l?防止頁(yè)面被內(nèi)嵌到別人的網(wǎng)站
HTML代碼里加:<script>if (self != top) { top.location = self.location; }</script>
l?防止從本地提交數(shù)據(jù)
在POST/GET數(shù)據(jù)的時(shí)候,我們需要驗(yàn)證頁(yè)面的referrer。如果referrer非本地的域名不讓訪問(wèn)。這樣可防止從其它站點(diǎn)或本地提交數(shù)據(jù)。
l?前臺(tái)JS驗(yàn)證數(shù)據(jù),提交到程序里也需要驗(yàn)證數(shù)據(jù)。做雙保險(xiǎn)才安全。
l?防無(wú)限刷新
數(shù)據(jù)提交的時(shí)候讓按鈕變灰不讓再次單擊。
提交成功后,用JS提示操作成功,并轉(zhuǎn)向新頁(yè)面。這樣做每次對(duì)方刷新都要點(diǎn)確定按鈕。可以減少刷新次數(shù)。
l?防無(wú)限提交數(shù)據(jù)/防ajax自動(dòng)提交數(shù)據(jù)
加入驗(yàn)證碼和提交時(shí)間(如一分種發(fā)信息)限制功能。
l??
二、數(shù)據(jù)庫(kù)開(kāi)發(fā)注意事項(xiàng)
l?刪除sa用戶,新建一個(gè)權(quán)限為sa的用戶,用戶名和密碼一樣要復(fù)雜。以防暴力破解。新建一個(gè)web連接用戶,去掉所有服務(wù)器角色,在用戶映射中加入此用戶要操作的數(shù)據(jù)庫(kù)db_owner和db_public身份。如果需要其它操作要另加權(quán)限(如只加insert/delete/select/update)。
l??
l?防SQL注入
存在SQL注入很?chē)?yán)重。db_public身份一樣能對(duì)數(shù)據(jù)庫(kù)表有添加/修改/刪除權(quán)限。
推薦使用Parameter傳值,不要使用字符串拼接。
如果需要拼接需要過(guò)濾一些特殊字符,代碼如下:
????????public?static?string?SafeSql(this?string?str) {
??????????? str = str.IsNullOrEmpty() ??""?: str.Replace("'",?"''");
??????????? str =?new?Regex("exec",?RegexOptions.IgnoreCase).Replace(str,?"exec");
??????????? str =?new?Regex("xp_cmdshell",?RegexOptions.IgnoreCase).Replace(str,?"xp_cmdshell");
??????????? str =?new?Regex("select",?RegexOptions.IgnoreCase).Replace(str,?"select");
??????????? str =?new?Regex("insert",?RegexOptions.IgnoreCase).Replace(str,?"insert");
??????????? str =?new?Regex("update",?RegexOptions.IgnoreCase).Replace(str,?"update");
??????????? str =?new?Regex("delete",?RegexOptions.IgnoreCase).Replace(str,?"delete");
?
??????????? str =?new?Regex("drop",?RegexOptions.IgnoreCase).Replace(str,?"drop");
??????????? str =?new?Regex("create",?RegexOptions.IgnoreCase).Replace(str,?"create");
??????????? str =?new?Regex("rename",?RegexOptions.IgnoreCase).Replace(str,?"rename");
??????????? str =?new?Regex("truncate",?RegexOptions.IgnoreCase).Replace(str,?"truncate");
??????????? str =?new?Regex("alter",?RegexOptions.IgnoreCase).Replace(str,?"alter");
??????????? str =?new?Regex("exists",?RegexOptions.IgnoreCase).Replace(str,?"exists");
??????????? str =?new?Regex("master.",?RegexOptions.IgnoreCase).Replace(str,?"master.");
??????????? str =?new?Regex("restore",?RegexOptions.IgnoreCase).Replace(str,?"restore");
????????????return?str;
??????? }
要使用sp_executesql不要使用:exec
l?select/insert/delete/update操作時(shí)需要注意:
當(dāng)前用戶只能查看,添加,刪除,更新自己的數(shù)據(jù)。在操作的時(shí)候一定要判斷是不是指定的用戶可以操作。有很多新人寫(xiě)程序的時(shí)候沒(méi)有做過(guò)處理,會(huì)出現(xiàn)當(dāng)前用戶可以刪除別人的數(shù)據(jù)。
刪除我的博文ID=1的SQL代碼:delete from blog where blogID=1這樣是有問(wèn)題的,應(yīng)該這么寫(xiě):delete from blog where blogID=1 and userid=當(dāng)前登錄的用戶ID。同樣查詢,修改,更新也存在這樣的問(wèn)題。
l??
三、自我測(cè)試需要注意
l?想象每一個(gè)函數(shù)/方法調(diào)用盡可能存在的情況。
l?測(cè)試所有按鈕/鏈接/圖片是否可點(diǎn),鏈接地址是否正確,是否存在無(wú)效鏈接。
l?每一個(gè)可輸入控件都要輸入特殊字符去測(cè)試。每一個(gè)URL參數(shù)都要輸入特殊字符去測(cè)試。
特殊字符:
‘
“
or 1=1
or 1=2
<script>alert(1)</script>
''%' or 1=1;--
\r\n
\n
l?界面是否美觀/顏色是否刺眼/哪里可以改進(jìn)。
l?提交數(shù)據(jù)是否可刷新多次提交。多次快速連續(xù)點(diǎn)擊保存,保存按鈕是否可用,是否已多次提交數(shù)據(jù)。
l?是否可查看,修改,刪除,更新別人的個(gè)人資料或私密信息。
l?是否可被內(nèi)嵌/是否可被另存為/是否有登錄漏洞/是否可本地提交數(shù)據(jù)/程序是否驗(yàn)證數(shù)據(jù)的格式、安全性和惡意性
?
總結(jié)
- 上一篇: 荣耀手表 4 正式发布:支持 eSIM“
- 下一篇: IAR需要注意的地方