专栏首页张善友的专栏检测常见ASP.NET配置安全漏洞

检测常见ASP.NET配置安全漏洞

看到一篇国外MVP Troy Hunt的文章: 67% of ASP.NET websites have serious configuration related security vulnerabilities,大意是依据他搜集到的统计数字,约67%的ASP.NET网站因配置不当,存在安全风险。

Troy Hunt文章的分析数据来自他所开发的一个简易网站扫瞄服务--ASafaWeb, Automated Security Analyser for ASP.NET Websites。使用者只要提供Internet上公开ASP.NET网站的URL,ASafaWeb会发出几个Request,藉此检查网站是否存在一些常见的安全漏洞。

由今年1至3月扫描过的网站记录,排除掉ASafaWeb测试网站及非ASP.NET网站后共有7,184份检测结果,Hunt做出简单的统计。虽然我觉得这份结果由于是使用者主动提供网站进行检测,甚至无法排除用户会刻意制造问题情境考验ASafaWeb的检查效果,因此数据高低未必能精确反应实际情况,但还是很有参考价值,值得我们关心一下ASP.NET有哪些常见的配置漏洞,确定自己都了解并检查手边网站有无类似状况,绝对是件好事。

以下是Hunt列出的常见ASP.NET配置安全漏洞:

  1. 未隐藏错误讯息 开发人员常会将<customErrors mode="Off" />方便排错,但正式上线时却忘了移除,导致一旦程序出错,相关程序代码细节甚至程序片段就赤裸裸地展示出来。黑客可能由其中找到相关的文件位置、数据库信息、组件版本... 等信息,提供入侵的指引。
  2. 关闭Request Validation 依Hunt的统计,近30%的网站豪迈地关闭了全站的Request验证。若真有需要,针对页面关闭就好,至少伤害面变小,但如果心有余力,避开此限制保持后门紧闭还是上策。
  3. 未更新Windows/IIS 去年底被揭露的HTTP POST Hash DoS漏洞,攻击者用简单的Request就能让网站忙到死去活来,终至服务瘫痪。微软已在2月发布补定,但是似乎还有50%的网站未完成更新。
  4. ELMAH存取未设限 关于ELMAH存取设定的风险之前也有文章 《大叔手记(18):利用Elmah和Google体验一把入侵的快感》提过,稍有不慎,程序里的秘密就会大放送,十分危险,甚至黑客还可能藉此伪造ASP.NET Session冒充身份,挺恐怖的。
  5. 未关闭Trace 虽然比例不高,但通过trace.axd黑客还是能搜集到很多重要情报,上线到正式环境时记得关闭。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • ASP.NET Identity V2

    Microsoft.AspNet.Identity是微软在MVC 5.0中新引入的一种membership框架,和之前ASP.NET传统的membership以...

    张善友
  • ASP.NET MVC 2 转换工具

    似水流年报告了ASP.NET MVC 2 正式发布,那么我们有许多ASP.NET MVC 1.0的程序需要移植到2.0怎么办呢?Eilon Lipton 已经发...

    张善友
  • ASP.NET进程优化

    ASP.NET工作者进程能够推动其限制而获得更高的性能。在 Internet 信息服务 (IIS) Web 服务器上配置 ASP.NET 进程模型设置。只能在 ...

    张善友
  • ASP.NET MVC 随想录——开始使用ASP.NET Identity,初级篇

    在之前的文章中,我为大家介绍了OWIN和Katana,有了对它们的基本了解后,才能更好的去学习ASP.NET Identity,因为它已经对OWIN 有了良好...

    用户1161731
  • ASP.NET Identity V2

    Microsoft.AspNet.Identity是微软在MVC 5.0中新引入的一种membership框架,和之前ASP.NET传统的membership以...

    张善友
  • ASP.NET MVC 5 - 将数据从控制器传递给视图

    在我们讨论数据库和数据模型之前,让我们先讨论一下如何将数据从控制器传递给视图。控制器类将响应请求来的URL。控制器类是给您写代码来处理传入请求的地方,并从数据库...

    葡萄城控件
  • .NET软件开发与常用工具清单

    Visual Studio是目前最流行的Windows平台应用程序的集成开发环境。最新版本为 Visual Studio 2014 版本,基于.NET Fra...

    张传宁老师
  • 小程序的推广思路

    之前有朋友做了一个可以直接对网页进行截图的小程序,询问我如何做小程序的推广,分享下我的一个思路,希望可以给读者一些借鉴。 将一篇网站变成一张图片,通常我们在什么...

    企鹅号小编
  • 实用且可验证的电子分类(CS CR)

    由于计算量大的验证(与注册阶段的持续时间T成线性关系)或易于拒绝服务,因此现有的可验证电子分类系统不切实际。 基于可验证的延迟功能的改进,我们提出了一种可验证的...

    小童
  • RPM与YUM管理包程序

    ldconfig通常在系统启动时运行,而当用户安装了一个新的动态链接库时,就需要手工运行这个命令。

    小柒吃地瓜

扫码关注云+社区

领取腾讯云代金券