2012-06-11 123 views
3

使用ASP.NET應用程序我使用自定義的HttpModule這個HttpModule攔截每個傳入的請求並檢查連接的用戶是否可以訪問請求的頁面,如果沒有將其重定向到Error頁面,則實現了頁面級別的訪問控制。HttpModule安全性是否足以保證asp.net應用程序的安全性?

  • 是這種做法足以保證應用程序的安全性還是很容易地繞過它,
  • 和你有什麼建議,以改善它?

在此先感謝。

+0

您使用的是什麼類型的身份驗證? – Matthew

+0

我正在使用一個自定義的。 –

回答

3

只要標準庫中沒有任何東西可以用於你想要的東西,這應該沒問題,只要你已經充分測試了你的模塊。您無法繞過HttpModule而無法訪問服務器本身來修改web.config文件,並且如果攻擊者已經這樣做了,那麼這是您最擔心的問題!

如果標準庫中有某些東西可以使用,您應該更喜歡這一點,因爲它不可避免地會被其他人廣泛測試!

我建議你爲你的模塊寫一套體面的單元測試,因爲它會構成你的應用程序的主要防線!

1

是這種做法足以保證應用程序的安全性還是很容易地繞過它,

這是不夠好,以確保每一個用戶被授權調用的URL。

它確實沒有保護您免受形成SQL注入基礎的常見攻擊 - 不良參數驗證和文本到SQL atocieties。

+0

目前我不同意這些wories到另一個步驟。現在我只專注於讓用戶訪問我不允許訪問的頁面 –