我在我們的應用程序中遇到安全問題。我不理解下面的問題,請任何人告訴我,它是什麼以及如何解決這個通用問題?如何使用安全相關工具掃描網站?發生XSS漏洞,該如何解決?
螺紋 - 當Web應用程序相呼應在發送給Web瀏覽器的HTML響應用戶提供的數據XSS弱點發生。例如,Web應用程序可能會將用戶名稱作爲歡迎消息的一部分,或者在確認送貨目的地時顯示家庭地址。如果用戶提供的數據包含的字符被解釋爲HTML元素的一部分而不是文本文本,則攻擊者可以修改受害者Web瀏覽器接收到的HTML。
例:http://mydomain/Products.aspx?category=%22%20onEvent%3dX151232644Y1Z%20&name=Healthcare
OWASP進入一些偉大的細節在THEI主題r「XSS (Cross Site Scripting) Prevention Cheatsheet」。
簡單的XSS攻擊可能涉及一個人通過電子郵件發送到您的網站的鏈接,其中一些參數利用XSS漏洞,允許將JavaScript和/或HTML提供的參數注入到所呈現的頁面中。它看起來像來自你的用戶,但可能包括攻擊者介紹的視覺,代碼或指令。 – phatfingers
有許多掃描XSS的工具和在線服務。他們大多數蜘蛛網站,並嘗試張貼形式的數據,試圖「注入」他們可以在頁面中檢測到的JavaScript或標籤。示例包括qualys.com(對法規遵從性的良好支持)或tenable.com(適用於廣泛的不同類型的漏洞)。 – phatfingers
您可以在Web應用程序中AntiXSS。
教程
http://haacked.com/archive/2010/04/06/using-antixss-as-the-default-encoder-for-asp-net.aspx
http://msdn.microsoft.com/en-us/security/aa973814
有用的工具
的Microsoft Web防護庫http://wpl.codeplex.com/
漏洞利用XSS
http://msdn.microsoft.com/en-us/library/aa973813.aspx
http://www.cgisecurity.com/xss-faq.html
基本方法,以防止XSS
輸入 - >防SQL注入 - >存儲在數據庫 - >反XSS - >輸出
這些與dotnet 4.0框架相關的鏈接。我們使用3.5,你能解釋如何在漏洞方面掃描網站。 – rangarajesh
我已更新我的帖子。讓我們來閱讀並理解簡單的xss錯誤。你會找到阻止它的方法。 –
的可能重複[你如何避免在ASP.Net(MVC)?XSS漏洞(http://stackoverflow.com/questions/3955658/how-do-you-avoid-xss-vulnerabilities-in-asp -net-mvc) –
我正在使用dotnet framework 3.5。我認爲這些對我來說可能沒有用處。 – rangarajesh