• web开发注意事项


    一、Web开发注意事项

    输出JSON问题。

    拼接JSON字符串,有些特殊字符需要替换掉源代码:

            public static string ToJson(this string s) {

                StringBuilder sb = new StringBuilder();

                for (int i = 0; i < s.Length; i++) {

                    char c = s.ToCharArray()[i];

                    switch (c) {

                        case '\"': sb.Append("\\\""); break;

                        case '\\': sb.Append("\\\\"); break;

                        case '/': sb.Append("\\/"); break;

                        case '\b': sb.Append("\\b"); break;

                        case '\f': sb.Append("\\f"); break;

                        case '\n': sb.Append("\\n"); break;

                        case '\r': sb.Append("\\r"); break;

                        case '\t': sb.Append("\\t"); break;

                        default: sb.Append(c); break;

                    }

                }

                return sb.ToString();

            }

    如果未替换这些特殊字符生成的JSON不会被正确解析。

    推荐使用NET提供的JavaScriptSerializer对象生成JSON字符串。

    源代码:

            public static string ToJson(this object obj){

                return ToJson(obj, null);

            }

            public static string ToJson(this object obj, IEnumerable<JavaScriptConverter> jsonConverters) {

                JavaScriptSerializer serializer = new JavaScriptSerializer();

                if (jsonConverters != null) serializer.RegisterConverters(jsonConverters ?? new JavaScriptConverter[0]);

                return serializer.Serialize(obj);

            }

    XXS攻击。

    这篇文章很全面:http://ha.ckers.org/xss.html

    数据从数据库读出来显示的时候一定要过滤。源代码:

            public static string UnHtml(this string htmlStr) {

                if (string.IsNullOrEmpty(htmlStr)) return string.Empty;

                return htmlStr.Replace("\"""\\\"").ShowXmlHtml().Replace(" ""&nbsp;").Replace("\n""<br />");

            }

            public static string ShowXmlHtml(this string htmlStr) {

                if (string.IsNullOrEmpty(htmlStr)) return string.Empty;

                string str = htmlStr.Replace("&""&amp;").Replace(">""&gt;").Replace("<""&lt;");

                return str;

            }

    存在此漏洞别人可挂马/记录键盘操作,并发送到指定的信箱/可弹广告/==

    Cookie/Session/ViewState数据存放需要加密。

    代码请参考:

    C#.NET COOKIE操作 KEY使用MD5加密,Value使用AES加密

    http://www.cnblogs.com/livexy/archive/2010/07/05/1771286.html

    C#.Net Session操作 Key使用MD5加密,Value使用DES加密

    http://www.cnblogs.com/livexy/archive/2010/07/05/1771288.html

    C#.NET 加密解密:AES/DES/Base64/RSA/MD5/SHA256

    http://www.cnblogs.com/livexy/archive/2010/07/05/1771285.html

    上传图片漏洞。

    这种漏洞的主要解决办法是:让图片目录无执行权限。

    将图片目录放在非站点下。建一个独立站点指向图片目录。

    IIS7处理程序映射:

     

    IIS6需要设置:只读和无执行权限。禁用所有Web服务扩展。

    备份文件时的小漏洞,备份重要文件时扩展名不要使用.bak/.txt之类的,防止别人下载。备份文件请不要上传到服务器。

    登录漏洞

    验证用户是否登录最好的作法是,先按登录名,从数据库查询到用户的ID和密码。在代码里比较登录密码是否正确。不要直接查询用户名和密码在表里是否存在。

    防止页面被另存为

    HTML代码里加:<NOSCRIPT><IFRAME SRC="*.html"></IFRAME></NOSCRIPT>

    防止页面被内嵌到别人的网站

    HTML代码里加:<script>if (self != top) { top.location = self.location; }</script>

    防止从本地提交数据

    POST/GET数据的时候,我们需要验证页面的referrer。如果referrer非本地的域名不让访问。这样可防止从其它站点或本地提交数据。

    前台JS验证数据,提交到程序里也需要验证数据。做双保险才安全。

    防无限刷新

    数据提交的时候让按钮变灰不让再次单击。

    提交成功后,用JS提示操作成功,并转向新页面。这样做每次对方刷新都要点确定按钮。可以减少刷新次数。

    防无限提交数据/ajax自动提交数据

    加入验证码和提交时间(如一分种发信息)限制功能。

     

    二、数据库开发注意事项

    删除sa用户,新建一个权限为sa的用户,用户名和密码一样要复杂。以防暴力破解。新建一个web连接用户,去掉所有服务器角色,在用户映射中加入此用户要操作的数据库db_ownerdb_public身份。如果需要其它操作要另加权限(如只加insert/delete/select/update)。

     

    SQL注入

    存在SQL注入很严重。db_public身份一样能对数据库表有添加/修改/删除权限。

    推荐使用Parameter传值,不要使用字符串拼接。

    如果需要拼接需要过滤一些特殊字符,代码如下:

            public static string SafeSql(this string str) {

                str = str.IsNullOrEmpty() ? "" : str.Replace("'""''");

                str = new Regex("exec"RegexOptions.IgnoreCase).Replace(str, "exec");

                str = new Regex("xp_cmdshell"RegexOptions.IgnoreCase).Replace(str, "xp_cmdshell");

                str = new Regex("select"RegexOptions.IgnoreCase).Replace(str, "select");

                str = new Regex("insert"RegexOptions.IgnoreCase).Replace(str, "insert");

                str = new Regex("update"RegexOptions.IgnoreCase).Replace(str, "update");

                str = new Regex("delete"RegexOptions.IgnoreCase).Replace(str, "delete");

     

                str = new Regex("drop"RegexOptions.IgnoreCase).Replace(str, "drop");

                str = new Regex("create"RegexOptions.IgnoreCase).Replace(str, "create");

                str = new Regex("rename"RegexOptions.IgnoreCase).Replace(str, "rename");

                str = new Regex("truncate"RegexOptions.IgnoreCase).Replace(str, "truncate");

                str = new Regex("alter"RegexOptions.IgnoreCase).Replace(str, "alter");

                str = new Regex("exists"RegexOptions.IgnoreCase).Replace(str, "exists");

                str = new Regex("master."RegexOptions.IgnoreCase).Replace(str, "master.");

                str = new Regex("restore"RegexOptions.IgnoreCase).Replace(str, "restore");

                return str;

            }

    要使用sp_executesql不要使用exec

    select/insert/delete/update操作时需要注意:

    当前用户只能查看,添加,删除,更新自己的数据。在操作的时候一定要判断是不是指定的用户可以操作。有很多新人写程序的时候没有做过处理,会出现当前用户可以删除别人的数据。

    删除我的博文ID=1SQL代码:delete from blog where blogID=1这样是有问题的,应该这么写:delete from blog where blogID=1 and userid=当前登录的用户ID。同样查询,修改,更新也存在这样的问题。

     

    三、自我测试需要注意

    想象每一个函数/方法调用尽可能存在的情况。

    测试所有按钮/链接/图片是否可点,链接地址是否正确,是否存在无效链接。

    每一个可输入控件都要输入特殊字符去测试。每一个URL参数都要输入特殊字符去测试。

    特殊字符:

    or 1=1

    or 1=2

    <script>alert(1)</script>

    ''%' or 1=1;--

    \r\n

    \n

    界面是否美观/颜色是否刺眼/哪里可以改进。

    提交数据是否可刷新多次提交。多次快速连续点击保存,保存按钮是否可用,是否已多次提交数据。

    是否可查看,修改,删除,更新别人的个人资料或私密信息。

    是否可被内嵌/是否可被另存为/是否有登录漏洞/是否可本地提交数据/程序是否验证数据的格式、安全性和恶意性

  • 相关阅读:
    HDU
    HDU
    HDU
    HDU
    西电网络赛
    西电网络赛
    西电网络赛
    西电网络赛
    西电网络赛
    西电网络赛
  • 原文地址:https://www.cnblogs.com/myitm/p/1796205.html
Copyright © 2020-2023  润新知