Browse by Tags

Request.Url.Host 偽造實驗

我有個 IIS 網站同時繫結多個 IP，想做到依據連上的伺服器 IP 授與不同權限，例如: 有些功能開放外網 IP 連入使用，某些功能限定內網及 localhost IP 才能用。設立兩個站台繫結不同 IP 及 Port 但共用同一份 ASP.NET 程式碼是一種解法，但我貪圖共用 Process 及靜態物件的便利性，因此要研究正確識別 Request 伺服器來源 IP 的方法。 舉最簡單的例子，IIS 預設繫結到所有 IP 位址("*")，而若伺服器 IP 為 172.28...

Posted 11 January 2018 09:42 PM 由 Jeffrey | with no comments 5,186

Filed under: ASP.NET, Security, ASP.NET MVC

多想兩分鐘，你可以不用 validateRequest="false"(WebForm版)

接續 前一篇 不關閉validateRequest下允許傳送XML內容的議題，有人問起，我才想到該文只示範了AJAX做法，壓根忘了提WebForm環境下應如何處理。 以下是我會採用的處理方式。原理上還是透過encodeURIComponent()及HttpUtility.UrlDecode()分別在Client端與Server端加解碼，只是要額外動些手腳: 在網頁上放一個<asp:HiddenField>作為實際的傳值容器。 供使用者輸入的<textarea>或<input...

Posted 01 February 2012 10:14 PM 由 Jeffrey | with no comments 7,138

Filed under: ASP.NET, Security, ASP.NET保安

多想兩分鐘，你可以不用 validateRequest="false"

先來看以下的程式，網頁上放了一個<textarea>及<input type="button">，按鈕後以$.post()方式將<textarea>的內容送至ASP.NET Server端程式，在Page_Load中讀取Request["data"]並顯示出來，另外並透過$.ajaxSetup()指定error錯誤事件函數，捕捉並顯示伺服器端的錯誤資訊。 <%@ Page Language="C#"...

Posted 01 February 2012 08:21 AM 由 Jeffrey | 5 comment(s) 35,147

Filed under: ASP.NET, Security, jQuery

換裝reCAPTCHA

自從 三年多前 加裝了TrimothyHUmphrey’s CAPTCHA，一直以來抵抗垃圾留言效果還不錯，但最近似乎有被攻破的嫌疑，隔一陣子會密集冒出好幾則無意義的洋文垃圾留言: 最近兩次都是一口氣被塞了10則以上，刪留言刪到火氣都上來了。心一橫，決定換上口碑不錯的 reCAPTCHA ，看看是否防禦效果會更好些。(延伸閱讀: 介紹好用工具：reCAPTCHA (免費的 CAPTCHA 驗證服務) by 保哥 ) 說來reCAPTCHA是個有趣的點子，特別挑選OCR程式無法識別的紙本掃瞄內容當考題...

Posted 15 March 2011 01:35 AM 由 Jeffrey | 2 comment(s) 7,963

Filed under: ASP.NET, Security

【茶包射手日記】ASP.NET寫Log檔的多執行緒問題

小熊子 提供日常生活茶包一枚，某機上盒設備偶然在液晶電視彈出以下訊息: 看起來是ASP.NET程式錯誤，雖然接到電視時畫面周圍被截，但仍看得出是同時寫入Log檔的多條執行緒在打架所致。頓時有熟悉的感覺: 啊! 這茶包我也嚐過。 由錯誤訊息所 暗示 的片段程式碼(錯誤示範! 正式台web.config應啟用customErrors，避免錯誤細節及程式碼被閒雜人等掌握)，推敲原來的程式碼如下: public static void WriteLog( string sErrMsg) { StreamWriter...

Posted 29 January 2011 09:37 AM 由 Jeffrey | 3 comment(s) 21,361

Filed under: ASP.NET, Security, ASP.NET保安

ASP.NET保安系列 - 常被遺忘的伺服器端驗證

【ASP.NET保安系列前言】 我一直對資安十分敏感，而剛好身為一位網站開發人員，自然對系統架構的安全格外關注，過去已寫過不少文章討論網站設計上的安全議題。例如: ASP.NET防駭指南 、 你的網站在裸奔嗎? 、 游擊式的SQL Injection攻擊 、 瀏覽器XSS防身術比武大會 、 隱含殺機的GET式AJAX資料更新 ...  很遺憾地，常有題材可以討論，意味著因程式寫法疏失產生資安風險的問題沒消失過，而隨著技術推陳出新，又會有新陷阱冒出來。結論是，身為網站開發人員，永遠鬆懈不得...

Posted 28 January 2011 07:17 AM 由 Jeffrey | 4 comment(s) 21,976

Filed under: ASP.NET, Security, ASP.NET保安

莫等待，莫依賴，快把ASP.NET安全更新裝起來!

ASP.NET安全弱點 的安全更新程式已 在9/28釋出 ，也如ScottGu所預告，很快被加進Windows Update自動更新機制中! (Windows Update會依OS及.NET版本決定更新程式，快點去檢查更新並安裝吧!) 請大家儘速對所有ASP.NET主機進行安全更新， 愈快愈好 !! 看了 Scott的公告 ，我整理幾點注意事項如下: 由於此一資安漏洞已被公開，所以很有可能有人已製作了駭客程式，準備攻擊沒有修補漏洞的ASP.NET主機。 如果不想讓你的ASP.NET網站變成待宰羔羊...

Posted 01 October 2010 07:58 PM 由 Jeffrey | with no comments 7,945

Filed under: ASP.NET, Security

【重要消息】ASP.NET安全弱點更新程式出爐了!

關於上週發佈的 ASP.NET安全弱點 ，MS已 釋出 安全更新了!! (向爆肝的程式開發人員致意~) 各.NET版本的安全更新目前已可由Microsoft Download Center 下載 : .NET 1.1 Security Update for Microsoft .NET Framework 1.1 Service Pack 1 and Windows Server 2003 Service Pack 2 (32-bit) Security Update for Microsoft...

Posted 29 September 2010 07:00 AM 由 Jeffrey | 4 comment(s) 13,755

Filed under: ASP.NET, Security

【重要提醒】請全面檢視並修改web.config customErrors!

兩天前微軟公佈了 Microsoft Security Advisory (2416728) - Vulnerability in ASP.NET Could Allow Information Disclosure 安全漏洞，ScottGu也在部落格文章: Important: ASP.NET Security Vulnerability ，警告此一弱點的嚴重性。關於此弱點的細節，保哥在 這篇網誌 提供了詳細的說明。 這個弱點具有極高威脅性，由於目前還沒有修補程式，因此可能引發 零時差攻擊 。建議大家即刻全面體檢所有上線ASP...

Posted 20 September 2010 05:36 AM 由 Jeffrey | 11 comment(s) 75,426

Filed under: ASP.NET, Security

【茶包射手專欄】跨機器之WCF認證問題

這是我的經驗。開發WCF Service時先在本機上寫Service及Cient，Visual Studio及.NET Framework做掉了大部分的Dirty Work，拖拖拉拉，動動小指，一段WCF程式就寫出來了，開開心心地做完測試，將包含WCF Service的ASP.NET部署到遠端機器上，再把Client端的Config指向遠端主機，理論上似乎就可以改測遠端主機連線模式: <client> <endpoint address=" httq://remoteMachine...

Posted 30 July 2010 04:22 PM 由 Jeffrey | 4 comment(s) 13,213

Filed under: ASP.NET, Security

設計賓至如歸的HTTPS強制導向網頁

有個網站有較嚴的資安要求，因此在IIS管理員中將其設為必須使用SSL連線，當使用者使用HTTP而非HTTPS連線時，會看到403拒絕存取的錯訊訊息，不太友善: 403 - Forbidden: Access is denied. You do not have permission to view this directory or page using the credentials that you supplied. 嚴格說起來，這個訊息回應不夠人性，未導引使用者解決問題，所以我們來試做一個讓使用者有賓至如歸感受的HTTPS強制導向服務...

Posted 22 July 2010 06:23 AM 由 Jeffrey | 11 comment(s) 29,537

Filed under: ASP.NET, Security, IIS

TIPS-解決WebClient存取https網站時SSL憑證不符問題

申請正式SSL憑證是要花錢的，在測試網站SSL連線或僅作內部應用時，我們常會用 SelfSSL 工具或是 Certificate Service 自己搞一張SSL憑證自嗨一番，反正一樣可以做到傳輸加密的效果。另外，還有一種狀況是網站雖有正式SSL憑證，但註冊的是外部DNS名稱，在內網必須用IP存取網站，此時也會出現URL與SSL註冊對象不同的情形。 當上述情境中，DIY憑證或外部用憑證會被瀏覽器識破，彈出警告訊息: 在瀏覽器上可以選擇無視憑證不符的瑕疵，繼續使用。但若問題發生在 WebClient...

Posted 06 May 2010 09:42 PM 由 Jeffrey | 7 comment(s) 39,182

Filed under: ASP.NET, Security

小測微軟SQL Injection漏洞掃瞄工具

微軟日前推出了可以掃瞄ASP原始碼是否有 SQL Injection 漏洞的 工具 ，我的第一個念頭是，They really did it? 在我的認知裡，原始碼分析工具最有挑戰性的部分在於要能順著程式的邏輯跑，而不單只從字面上查，例如: Request("id")被指定成變數id，傳給函數GetInfo(id)，函數中再呼叫RunGetInfoSel(id)，使用者輸入的參數經過三手才被拿來組SQL指令字串(危險，勿學)，除非分析工具一路追進函數中，才能解析出這裡隱含了SQL...

Posted 01 August 2008 07:09 AM 由 Jeffrey | 1 comment(s) 20,362

Filed under: ASP.NET, Security

TIPS-小心Eval潛藏XSS漏洞

.NET 3.5裡多了些新玩意，看過保哥的 超完美組合：LinqDataSource + ListView + DataPager + jQuery 及Rick Strahl的 ListView and DataPager in ASP.NET 3.5 兩篇介紹ListView的文章，ListView對前端有極佳主控權的特色深得我心，我打算逐步在未來的專案中用ListView取代DataGrid或GridView。 不過我有注意到大部分文章在介紹Templated Control時都省略了資安風險的提醒...

Posted 19 June 2008 08:02 AM 由 Jeffrey | 2 comment(s) 18,892

Filed under: ASP.NET, Security

游擊式的SQL Injection攻擊

最近處理了一個棘手的SQL Injection案例，又增長了一些見聞 (如果你身為網站設計人員卻不知道什麼是SQL Injection，建議你最好立即請假佯裝出國度假或雙手打上石膏裝殘，無論如何，在搞懂什麼是SQL Injection之前，務必暫停手邊的開發工作，以免在系統埋下更多的炸彈，遺害千年! 我有幾篇文章可以參考: ASP.NET防駭指南 、 你的網站在裸奔嗎? ) 這次遇到的狀況是發現網站上一些內容顯示有誤，似乎是HTML格式不對。仔細確認，發現資料庫中的所有varchar, nvarchar欄位資料後方都被加上了<...

Posted 22 May 2008 07:38 AM 由 Jeffrey | 26 comment(s) 93,676

Filed under: ASP.NET, Security

搜尋