Asp.net之数据过滤浅析
程序员文章站
2024-03-06 15:51:38
在asp.net开如中,引发安全问题最多的大多来自于以下三个方面: 1.上传 2.跨站 3.注入 上传的安全问题不在本文讨论范围内,这里只讨论跨站与注入的问...
在asp.net开如中,引发安全问题最多的大多来自于以下三个方面:
1.上传
2.跨站
3.注入
上传的安全问题不在本文讨论范围内,这里只讨论跨站与注入的问题,而这两者都是基本可以通过过滤来处理的!把注入放在最后面是因为,sql注入玩了这么多年,大家应当有了一定的防范,只要稍有点注意,能在asp.net上面玩下的注入还是相当少的!注意这以下几点。
1.所有的参数。如果是int类型的,请转换成int再处理! 别拿装箱与拆箱来说事!估计现在大家也不会把sql语句直接在web里面拼接了,起码也要用上几个类,中间的一些简单的逻辑处理!类型转换还是要涉及到的
2.尽量使用参数化查询!
3.起码要注意过滤单引号(其实如果使用参数化查询,不过滤也没事,不过我还是习惯性过滤)!
4.不要直接把错误赤裸裸的暴露给用户!这点不仅仅是为了防范注入,同时也是一个用户体验问题!通过重写onerror事件,再继承,能很好的处理!
而相对于跨站,防洗耳范起来就麻烦多了,过滤一直是个很纠结的东西,过滤太严了,影响正常使用,没过滤好,又引发安全问题!我把我刚写的过滤类拿出来,也许其中还有没有考虑到的地方,希望大家指点,
public static string stringfilters(string input)
{
if (string.isnullorempty(input))
return input;
/*跨站攻击过虑*/
input = input.replace("", "&#");//过滤 攻击方式javascript:alert('XSS')
input = regex.replace(input, @"javascript:", "Javascript:", regexoptions.ignorecase);//过滤js 攻击方式:javascript:alert('xss');
input = regex.replace(input, @"vbscript:", "Vbscript:", regexoptions.ignorecase);//过滤js 攻击方式:vbscript:msgbox('xss');
input = regex.replace(input, @"j *a *v *a *s *c *r *i *p *t:", "Vbscript:", regexoptions.ignorecase);//攻击方式:java script:alert('xss');
input = regex.replace(input, @"\/\*[ss]*\*\/", "<!-- code -->", regexoptions.ignorecase);
input = regex.replace(input, @"expression", "expression", regexoptions.ignorecase);
input = regex.replace(input, @"<[\u0020]*style[^>]*>", "S:yle", regexoptions.ignorecase);
input = regex.replace(input, @"<[^>]*object[^>]*>", "objec&$58", regexoptions.ignorecase);//攻击方式 <object type="text/x-scriptlet" data="http://www.cnblog.cn"></object> 注意,这样过滤后将无法使用flash
/*各种事件过滤*/
input = regex.replace(input, @"<[^>]*[\u0020]+on[a-za-z]{3,20}[\u0020]*=[\u0020]*[^>]*>", "js event", regexoptions.ignorecase);//
input = input.replace("'", "'");//单引号防止sql注入
input = regex.replace(input, @"script", "Script", regexoptions.ignorecase);//防止脚本攻击
input = regex.replace(input, @"frame", "frame", regexoptions.ignorecase);//防止iframe 挂马
input = regex.replace(input, @"form", "form", regexoptions.ignorecase);//禁止表单提交
input = regex.replace(input, @"meta", "meta", regexoptions.ignorecase);//防止用使meta跳转到非法网页
return input;
}
补充一下,过滤千万不要把字符串过虑成空,这样同样存在安全问题,必须过虑成另外一个字符串,比如过滤你好,那么用户可以构建这样一个字符“你你好好”,通过replace("你好","")之后,输出的结果,我不说大家也知道!
另外,这里是考虑了支持html的情况,所以没有直接过虑尖括号!
1.上传
2.跨站
3.注入
上传的安全问题不在本文讨论范围内,这里只讨论跨站与注入的问题,而这两者都是基本可以通过过滤来处理的!把注入放在最后面是因为,sql注入玩了这么多年,大家应当有了一定的防范,只要稍有点注意,能在asp.net上面玩下的注入还是相当少的!注意这以下几点。
1.所有的参数。如果是int类型的,请转换成int再处理! 别拿装箱与拆箱来说事!估计现在大家也不会把sql语句直接在web里面拼接了,起码也要用上几个类,中间的一些简单的逻辑处理!类型转换还是要涉及到的
2.尽量使用参数化查询!
3.起码要注意过滤单引号(其实如果使用参数化查询,不过滤也没事,不过我还是习惯性过滤)!
4.不要直接把错误赤裸裸的暴露给用户!这点不仅仅是为了防范注入,同时也是一个用户体验问题!通过重写onerror事件,再继承,能很好的处理!
而相对于跨站,防洗耳范起来就麻烦多了,过滤一直是个很纠结的东西,过滤太严了,影响正常使用,没过滤好,又引发安全问题!我把我刚写的过滤类拿出来,也许其中还有没有考虑到的地方,希望大家指点,
复制代码 代码如下:
public static string stringfilters(string input)
{
if (string.isnullorempty(input))
return input;
/*跨站攻击过虑*/
input = input.replace("", "&#");//过滤 攻击方式javascript:alert('XSS')
input = regex.replace(input, @"javascript:", "Javascript:", regexoptions.ignorecase);//过滤js 攻击方式:javascript:alert('xss');
input = regex.replace(input, @"vbscript:", "Vbscript:", regexoptions.ignorecase);//过滤js 攻击方式:vbscript:msgbox('xss');
input = regex.replace(input, @"j *a *v *a *s *c *r *i *p *t:", "Vbscript:", regexoptions.ignorecase);//攻击方式:java script:alert('xss');
input = regex.replace(input, @"\/\*[ss]*\*\/", "<!-- code -->", regexoptions.ignorecase);
input = regex.replace(input, @"expression", "expression", regexoptions.ignorecase);
input = regex.replace(input, @"<[\u0020]*style[^>]*>", "S:yle", regexoptions.ignorecase);
input = regex.replace(input, @"<[^>]*object[^>]*>", "objec&$58", regexoptions.ignorecase);//攻击方式 <object type="text/x-scriptlet" data="http://www.cnblog.cn"></object> 注意,这样过滤后将无法使用flash
/*各种事件过滤*/
input = regex.replace(input, @"<[^>]*[\u0020]+on[a-za-z]{3,20}[\u0020]*=[\u0020]*[^>]*>", "js event", regexoptions.ignorecase);//
input = input.replace("'", "'");//单引号防止sql注入
input = regex.replace(input, @"script", "Script", regexoptions.ignorecase);//防止脚本攻击
input = regex.replace(input, @"frame", "frame", regexoptions.ignorecase);//防止iframe 挂马
input = regex.replace(input, @"form", "form", regexoptions.ignorecase);//禁止表单提交
input = regex.replace(input, @"meta", "meta", regexoptions.ignorecase);//防止用使meta跳转到非法网页
return input;
}
补充一下,过滤千万不要把字符串过虑成空,这样同样存在安全问题,必须过虑成另外一个字符串,比如过滤你好,那么用户可以构建这样一个字符“你你好好”,通过replace("你好","")之后,输出的结果,我不说大家也知道!
另外,这里是考虑了支持html的情况,所以没有直接过虑尖括号!
下一篇: gcc 内嵌汇编的学习笔记 II GCC