- 博客(20)
- 收藏
- 关注
RSS订阅
原创 WEB代码安全分析
WEB代码安全分析下面这段代码是一个WEB系统中显示广告内容的程序,这个程序从发现漏洞到现在,历经多次修改,但是每次修改都有安全问题或隐患,这些问题虽然不会直接导致入侵,但是在其他非托管系统中或在使用其他非托管语言开发的组件中,则会引起更大的安全问题。 AdvFile = Request.QueryString["Path"
2009-09-19 16:12:00
1428
原创 在C#中采用自定义标签和XML、XSL显示数据
通过在C#程序中定义标签类,然后在页面进行数据绑定,从而实现数据和显示的分离,显示的样式采用XSL定义。数据实体通过序列化为XML,然后用XSL解析,形成HTML内容。对于其中需要实现安全特性,防范XSS攻击,采用XSL自定义FUNCTION进行ENCODE。 public class Encoding { public string Encode(string c
2009-06-26 09:38:00
1190
原创 JQuery安全分析
JQuery安全分析:JQuery的风险均来源于对输入的数据没有进行有效性检验。客户端的Javascript需要检验:来源于服务器的数据、来源于当前页面的用户输入,服务器端需要检验来源于用户端的数据.JQUERY的下列方法存在XSS的风险,在使用前应该对输入的内容进行编码或检查.html(val)$("#MyH").html("as>/" aler
2009-11-17 10:42:00
1770
原创 Active Directory 域帐号审计程序
using System;using System.Collections.Generic;using System.ComponentModel;using System.Data;using System.Drawing;using System.Text;using System.Windows.Forms;using System.DirectoryServices;using DS= S
2009-09-01 14:33:00
933
原创 IIS故障修复一例(Failed to access IIS metabase. )
Failed to access IIS metabase. Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and
2009-08-28 10:12:00
711
原创 在WEB应用程序中如何正确使用数字证书?
数字证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在Internet上解决"我是谁"的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。数字证书是由权威公正的第三方机构即CA中心签发,以数字证书为核心的加密技术,可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,
2009-08-18 14:30:00
3397
1
原创 对WEB Request监控
public class WebMonitor { public static string[] MonitorPath = { "/aa" }; public static bool ThrowException { get; set; } public static int LogBuffering = 10240; public
2009-07-02 14:47:00
682
原创 SQL2005镜像故障处理
SSB – Connection handshake failed The following shows you some kinds of SSB exception when enabling Transport Security and Dialog Security in the cross-server Service Broker conversation.1. C
2009-02-10 14:39:00
858
转载 12月9日晚间消息,微软曝出最新XML安全漏洞
12月9日晚间消息,微软曝出最新XML安全漏洞,将影响到所有使用IE控件的程序,包括各主要浏览器、邮件客户端、办公软件、Rss订阅器以及可嵌入网页的所有第三方软件,影响范围极其广泛。 目前,已有黑客开始利用微软最新XML漏洞疯狂传播木马,几乎全体网民都面临着由这一漏洞导致的严重安全威胁:不管是用IE、傲游等浏览器上网,还是用Word、WPS等办公软件阅读文档,或用Outlook和Foxma
2008-12-12 08:30:00
569
原创 Vs2003升级到VS2008过程记录
VS2003,我已经不能再忍受你了,我每修改我项目的文件内容,CS内容全变为灰色的,我没有办法工作.现在我决定离开你,使用Vs2008.我试过十次转向到VS2008,但是每次都是失败结束,这次,我一定不能再失败,我已经不能接受这样的结果.说明一下,这个项目比较大。编译好后,DLL有几M。三层架构,有Web Service 也有Remoting,分布式的系统,要和十多个不同的企业的系统对接。
2008-11-16 12:59:00
4216
5
原创 文件上传功能的安全考虑
文件上传功能的安全考虑你的服务器在开通HTTP上传文件功能之前,一件很重要的事情你必须考虑:安全,因为不当的设计或配置,将使你的服务器很容易受到攻击. 例如:早期的PHP上传文件脚本及Jsp上传文件的脚本是不安全的.一个问题是我们没有检查用户输入的文件名.这个问题给恶意用户修改服务器文件的机会 (如:系统文件或密码文件).例如:,如果恶意用户输入这样的地址: "../passw
2008-10-25 08:49:00
4881
原创 失效的URL访问限制
失效的URL访问限制* 经常URL的保护仅仅是连接到该页面的链接不出现在未授权的用户面前.然而,一个有动机的、熟练的或者仅仅是幸运的黑客可能会找到并访问这些网页 , 调用这些功能并查看数据.在应用程序中,通过隐匿来实现安全并不足以保护敏感的功能和数据. 在请求敏感功能前,必须先执行访问控制程序以确定用户是否被授权. 受影响的环境 所有的WEB应用程序都很容易受到“失效的URL访问限制”
2008-10-14 15:11:00
7203
原创 安全Web登录过程设计
风险用户帐号被盗用、用户权限被提升。原则严格控制用户认证过程和认证信息,用户身份不被假冒。控制点2.1是否所有受保护的文件、目录、功能模块都要求身份验证及权限验证。2.2 用户登录窗体安全性设计要求。2.2.1关闭浏览器自动填充功能。2.2.2防止用户口令被侦听,登录口令采用加密方式向服务器传送,如:采用口令和随机ID计算MD5后向服务器传送的方式。2.2.3获取用户登录或操作IP采用R
2008-05-15 23:27:00
2620
1
原创 如何同一时间一个帐号只有一个用户使用?(asp.net)
同一时间一个帐号只能一个用户登录使用有两种不同的思路,一是用户登录后,系统保存该用户已经登录的信息,下一个相同帐号要求登录,则拒绝用户登录.另一种是用户登录系统.如果之前该帐号已有用户登录,则踢出前一个用户.两种方法都能达到一个帐号只有一个用户使用的功能,但前者存在一个问题就是:如果用户被其他人盗用,哪么正常的用户也不能登录系统.后一个思路则双方会发生抢夺.用户真是变态,为了安全,已经设置了网卡绑
2005-01-24 15:33:00
2555
2
原创 C#生成验证码
public static bool GenRad(string strRadnum,System.IO.Stream oOutStream,int nWidth,int nHeight) { System.Drawing.Bitmap oImage; try { oImage=new System.Drawing.Bitmap(nWidth,nHeight);
2005-01-24 14:55:00
1282
原创 WEB服务器死亡日记(必杀篇)
服务器死亡(必杀篇)上面的东东都是常用的,我们必须死亡,没有办法,因为我们在网络中。Sniffer大法。我们可以保护我们的服务器不被不正常的访问,但我们不能限定我们的正常访问。在正常访问中,我们处在一个极度不安全的环境中。服务器通过上面的设置,我们是相对安全了不少,一般情况我们对服务器的关注甚过了我们对我们日常生活的网络。我们的网络常是用HUB联连的,如果有人进入我们的网络,并sn
2005-01-24 13:01:00
1585
原创 WEB服务器死亡日记(应用程序篇)
服务器死亡日记(应用程序篇)第二个层面的安全是应用程序的安全。我们要明白我们安装了哪些应用程序,Ftp、imail、IIS下的应用程序。我们安装的应用程序必须顺时注意补丁的情况,同有补丁必须及时安装。问题最大的就是我们自己开发的应用程序,我们要用怀疑一切的态度去看带我们的代码。在网上最最知名的就是SQL注入攻击法。就是在参数后面加一些SQL语句实现对网站的攻击。要防止SQL注入法攻击,首先要求
2005-01-24 12:59:00
1214
原创 WEB服务器死亡日记(系统篇)
服务器死亡日记(系统篇)服务器放在机房里,就象保险柜放在大街上,心里总是怕怕的,一不小心就被人盗走了。服务器的安全有三个方面,一是操作系统,二是应用程序,三是网络安全。由于这三个方面是归不同的人负责,这使我们的安全性很脆弱,网管只负责打打系统的补丁,程序员负责应用程序,而网络安全,根本很少有人管。平时,网管最关心的是操作系统的安全,这也是黑客最容易进入的环节。不论是Linux或Window
2005-01-24 09:50:00
1194
原创 如何用VB写安全控件(从MSDN引用)
总述 本文叙述了如何在VB中实现控件的IobjectSafety接口,以标志该控件是脚本安全和初始化安全的。VB控件默认的处理方式是在注册表中注册组件类来标识其安全性,但实现IobjectSafety接口是更好的方法。本言语包括了实现过程中所需的所有代码。 请注意,控件只有确确实实是安全的,才能被标识为“安全的”。本文并未论及如何确保控件的安全性,这个问题请参阅Internet Client S
2004-12-24 09:35:00
1371
原创 C#开发WAP程序(原创)
平时下班等女朋友总是要等很长时间,想看书又没有带,只有玩手机游戏;GPRS上网,很多内容都是需要付费的,并且就只有可怜的下载铃声,图片,好象还有新新,没劲!最好能用手机看看小说,网络上好象没有免费的WAP小说,办公室的小妹妹也是无聊之至,老想买个PDA看小说,又方便自己,又方便美眉,看来还是DIY吧。都说JAVA是开发WAP的利器,不过WAP需要这个“码”转到那个“码”,有好多的东东需要学,我可是
2004-12-11 16:45:00
6039
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人