.NET配置檔案的10大安全漏洞
在ASP.NET應用程式在生產環境中部署時,需要檢查Web.Config檔案是否存在以下10個不正確的配置,可能導致安全漏洞:
1、Disabling custom errors
Vulnerable: Secure:
<configuration> <configuration>
<system.web> <system.web>
<custom mode=”Off”> <customErrors mode=”RemoteOnly”>
2、Leaving tracing enabled
Vulnerable: Secure:
<configuration> <configuration>
<system.web> <system.web>
<trace enabled=”true” <trace enabled=”false”
localOnly=”false”> localOnly=”true”>
3、Enabling debugging
Vulnerable: Secure:
<configuration> <configuration>
<system.web> <system.web>
<compilation debug=”true”> <compilation debug=”false”>
4、Making cookies accessible through client-side script
Vulnerable: Secure:
<configuration> <configuration>
<system.web> <system.web>
<httpCookies <httpCookies
httpOnlyCookies=”false”> httpOnlyCookies=”true”>
5、Enabling cookieless session state
Vulnerable: Secure:
<configuration> <configuration>
<system.web> <system.web>
<sessionState <sessionState
cookieless=”UseUri”> cookieless=”UseCookies”>
6、Enabling cookieless authentication
Vulnerable: Secure:
<configuration> <configuration>
<system.web> <system.web>
<authentication mode=”Forms”> <authentication mode=”Forms”>
<forms cookieless=”UseUri”> <forms cookieless=”UseCookies”>
7、Failing to require SSL for authentication cookies
Vulnerable: Secure:
<configuration> <configuration>
<system.web> <system.web>
<authentication mode=”Forms”> <authentication mode=”Forms”>
<forms requireSSL=”false”> <forms requireSSL=”true”>
8、Using sliding expiration
Vulnerable: Secure:
<configuration> <configuration>
<system.web> <system.web>
<authentication mode=”Forms”> <authentication mode=”Forms”>
<forms slidingExpiration=”true”> <forms slidingExpiration=”false”>
9、Using non-unique authentication cookies
Vulnerable: Secure:
<configuration> <configuration>
<system.web> <system.web>
<authentication mode=”Forms”> <authentication mode=”Forms”>
<forms name=”.ASPXAUTH”> <forms name=”{abcd1234…}”
10、Using hard-coded credentials
Vulnerable: Secure:
<configuration> <configuration>
<system.web> <system.web>
<authentication mode=”Forms”> <authentication mode=”Forms”>
<forms> <forms>
<credentials> …
…
</credentials> </forms>
</forms>
參考:《Top 10 security vulnerabilities in .NET configuration files》
相關文章
- 加密(Asp.Net配置檔案的)配置節加密ASP.NET
- .net core使用配置檔案
- ASP.NET Core 配置檔案ASP.NET
- .NET Core常用配置檔案示例
- .Net Core中的配置檔案原始碼解析原始碼
- AspNetCore配置多環境log4net配置檔案NetCore
- struts2中的6大配置檔案
- .net core 靈活讀取配置檔案
- .NET Core 6.0之讀取配置檔案
- asp.net 操作INI配置檔案類ASP.NET
- .net 在配置檔案中配置404路徑出錯
- Web 安全漏洞之檔案上傳Web
- Asp.Net 上傳大檔案專題(1)--概述:上傳大檔案的難點ASP.NET
- 一個.Net簡單、易用的配置檔案操作庫
- Oracle的網路三大配置檔案(sqlnet.ora、tnsnames.ora、listener.ora)OracleSQL
- 用ASP.NET上傳大檔案ASP.NET
- Asp.Net Core入門之配置檔案ASP.NET
- .Net通用大檔案上傳類(可上傳大檔案,vs2005)
- apache 配置檔案的配置(轉)Apache
- 來吧學學.Net Core之專案檔案簡介及配置檔案與IOC的使用
- Windows10下pip的配置檔案設定Windows
- C# Log4net配置檔案 總結C#
- .NET程式配置檔案操作(ini,cfg,config)
- .NET Core基礎篇之:配置檔案讀取
- 【sharpedge 】.NET配置檔案解析過程詳解
- Git配置配置檔案Git
- 在.net core中使用配置檔案的幾個示例和方法
- 【風語·深藍 】.NET 2.0的自定義配置檔案體系初探
- 安全漏洞問題5:上傳任意檔案
- .NET Core Web APi大檔案分片上傳研究WebAPI
- asp.net 上傳大檔案大小控制方案ASP.NET
- 【VB.Net機房重構】--簡述配置檔案
- Laravel 中的配置檔案Laravel
- ThinkPHP配置檔案的方法PHP
- SSM衍生的配置檔案SSM
- 完善ANT的配置檔案
- 修改Oracle的配置檔案Oracle
- 我的tmux配置檔案UX