0
我正在使用VS2010,C#,SQL Server來開發我的ASP.NET Web應用程序,雖然這不是我的第一次ASP.NET體驗,但是這次我的項目更容易出現攻擊我應該考慮更好的安全政策。我有一個登錄屏幕作爲我的第一頁,用戶輸入他們的用戶名和密碼,並顯示一個特定於他們的頁面,在我上一個項目中,爲了安全目的,我使用查詢字符串(用戶標識符)和會話,但是這次我只使用查詢字符串,這意味着此刻可以輸入myaddress.com?userid1並訪問我的網站頁面! 我知道這並不好,但我的方法是什麼?我不是在銀行或金融系統工作的課程,但是我要有一個標準的安全策略,我應該使用會話?餅乾?你能否建議我採用易於開發和同時安全的方式實施保護政策?任何示例代碼或提示?ASP.NET用戶名/密碼安全
感謝
如果你正在傳遞URL參數遠離這樣的傳遞整數,有人可以很容易地克服這一點。查看URL重寫,或者使用一些GUID。記住會話對於每個新來的用戶都很好,他們是網絡體驗的一部分。 – JonH
URL重寫和GUID似乎是很好的方法,有沒有實現它們的簡短方法? –
我不知道你是否在保護fort knox(應用程序不能被黑客入侵!)或你的購物清單(我們會被黑客攻擊),但是你會希望使用一個內存,加密的cookie,最好是由管理員ASP.NET的成員身份功能可以跟蹤請求之間以及希望使用Thread主體和/或ASP.NET內部User對象的請求期間的身份。 URL受到重播攻擊,缺少任何內置的過期機制,可能由用戶意外或意圖傳播給其他用戶等。所以-1對於將URL放在URL上的建議除非這是一個購物清單 – MatthewMartin