最近在做安全掃描,把遇到的一些問題以及一些解決方法記錄下,以備后用.
掃描軟件: IBM Security AppScan Standard 規則: 17441
1. 已解密的登錄請求 (高)
- 傳遞的參數名稱避免使用語義明確的英文單詞
> 如UserID, UserPwd, Password等
- 傳遞參數中包含敏感數據時使用post方式提交並進行加密傳輸
- 采用ajax方式提交表單時,提交的參數名稱應與對應的表單控件name屬性不同或者去掉name屬性,通過ID屬性取值.
2. 查詢中的密碼參數(高)
- 同上
3. 跨站請求偽造(中)
- 在請求開始時驗證referer
- 使用Html.AntiForgeryToken()方法和 ValidateAntiForgeryToken特性
> 注意:在這種情況下掃描有時會出現302無法通過掃描的問題,暫時不知道如何解決,但並不影響安全性.
4. 跨站點腳本編制,SQL注入(高)
- 在請求開始時檢查所有傳參(url,form,cookie),過濾掉所有危險關鍵字
>注意:關鍵字包括js,sql,MongoDB中的特殊關鍵字,已經以上關鍵字的url編碼和16進制形式
5. 使用 HTTP 動詞篡改的認證旁路(中)
- 可以在請求開始時檢測請求方式並進行限制也可以配置路由約束
- 盡量在控制器上添加特性加以限制
6. 注銷后會話未失效(高)
- 清空session,取消當前會話,ASP.NET_SessionId的cookie置空