Browse by Tags
All Tags
»
Security
»
ASP.NET
(
RSS
)
ASP.NET MVC
ASP.NET保安
IIS
Javascript
jQuery
KB
Trouble-Shooting
Request.Url.Host 偽造實驗
我有個 IIS 網站同時繫結多個 IP,想做到依據連上的伺服器 IP 授與不同權限,例如: 有些功能開放外網 IP 連入使用,某些功能限定內網及 localhost IP 才能用。設立兩個站台繫結不同 IP 及 Port 但共用同一份 ASP.NET 程式碼是一種解法,但我貪圖共用 Process 及靜態物件的便利性,因此要研究正確識別 Request 伺服器來源 IP 的方法。 舉最簡單的例子,IIS 預設繫結到所有 IP 位址("*"),而若伺服器 IP 為 172.28...
多想兩分鐘,你可以不用 validateRequest="false"(WebForm版)
接續 前一篇 不關閉validateRequest下允許傳送XML內容的議題,有人問起,我才想到該文只示範了AJAX做法,壓根忘了提WebForm環境下應如何處理。 以下是我會採用的處理方式。原理上還是透過encodeURIComponent()及HttpUtility.UrlDecode()分別在Client端與Server端加解碼,只是要額外動些手腳: 在網頁上放一個<asp:HiddenField>作為實際的傳值容器。 供使用者輸入的<textarea>或<input...
多想兩分鐘,你可以不用 validateRequest="false"
先來看以下的程式,網頁上放了一個<textarea>及<input type="button">,按鈕後以$.post()方式將<textarea>的內容送至ASP.NET Server端程式,在Page_Load中讀取Request["data"]並顯示出來,另外並透過$.ajaxSetup()指定error錯誤事件函數,捕捉並顯示伺服器端的錯誤資訊。 <%@ Page Language="C#"...
換裝reCAPTCHA
自從 三年多前 加裝了TrimothyHUmphrey’s CAPTCHA,一直以來抵抗垃圾留言效果還不錯,但最近似乎有被攻破的嫌疑,隔一陣子會密集冒出好幾則無意義的洋文垃圾留言: 最近兩次都是一口氣被塞了10則以上,刪留言刪到火氣都上來了。心一橫,決定換上口碑不錯的 reCAPTCHA ,看看是否防禦效果會更好些。(延伸閱讀: 介紹好用工具:reCAPTCHA (免費的 CAPTCHA 驗證服務) by 保哥 ) 說來reCAPTCHA是個有趣的點子,特別挑選OCR程式無法識別的紙本掃瞄內容當考題...
【茶包射手日記】ASP.NET寫Log檔的多執行緒問題
小熊子 提供日常生活茶包一枚,某機上盒設備偶然在液晶電視彈出以下訊息: 看起來是ASP.NET程式錯誤,雖然接到電視時畫面周圍被截,但仍看得出是同時寫入Log檔的多條執行緒在打架所致。頓時有熟悉的感覺: 啊! 這茶包我也嚐過。 由錯誤訊息所 暗示 的片段程式碼(錯誤示範! 正式台web.config應啟用customErrors,避免錯誤細節及程式碼被閒雜人等掌握),推敲原來的程式碼如下: public static void WriteLog( string sErrMsg) { StreamWriter...
ASP.NET保安系列 - 常被遺忘的伺服器端驗證
【ASP.NET保安系列前言】 我一直對資安十分敏感,而剛好身為一位網站開發人員,自然對系統架構的安全格外關注,過去已寫過不少文章討論網站設計上的安全議題。例如: ASP.NET防駭指南 、 你的網站在裸奔嗎? 、 游擊式的SQL Injection攻擊 、 瀏覽器XSS防身術比武大會 、 隱含殺機的GET式AJAX資料更新 ... 很遺憾地,常有題材可以討論,意味著因程式寫法疏失產生資安風險的問題沒消失過,而隨著技術推陳出新,又會有新陷阱冒出來。結論是,身為網站開發人員,永遠鬆懈不得...
莫等待,莫依賴,快把ASP.NET安全更新裝起來!
ASP.NET安全弱點 的安全更新程式已 在9/28釋出 ,也如ScottGu所預告,很快被加進Windows Update自動更新機制中! (Windows Update會依OS及.NET版本決定更新程式,快點去檢查更新並安裝吧!) 請大家儘速對所有ASP.NET主機進行安全更新, 愈快愈好 !! 看了 Scott的公告 ,我整理幾點注意事項如下: 由於此一資安漏洞已被公開,所以很有可能有人已製作了駭客程式,準備攻擊沒有修補漏洞的ASP.NET主機。 如果不想讓你的ASP.NET網站變成待宰羔羊...
【重要消息】ASP.NET安全弱點更新程式出爐了!
關於上週發佈的 ASP.NET安全弱點 ,MS已 釋出 安全更新了!! (向爆肝的程式開發人員致意~) 各.NET版本的安全更新目前已可由Microsoft Download Center 下載 : .NET 1.1 Security Update for Microsoft .NET Framework 1.1 Service Pack 1 and Windows Server 2003 Service Pack 2 (32-bit) Security Update for Microsoft...
【重要提醒】請全面檢視並修改web.config customErrors!
兩天前微軟公佈了 Microsoft Security Advisory (2416728) - Vulnerability in ASP.NET Could Allow Information Disclosure 安全漏洞,ScottGu也在部落格文章: Important: ASP.NET Security Vulnerability ,警告此一弱點的嚴重性。關於此弱點的細節,保哥在 這篇網誌 提供了詳細的說明。 這個弱點具有極高威脅性,由於目前還沒有修補程式,因此可能引發 零時差攻擊 。建議大家即刻全面體檢所有上線ASP...
【茶包射手專欄】跨機器之WCF認證問題
這是我的經驗。開發WCF Service時先在本機上寫Service及Cient,Visual Studio及.NET Framework做掉了大部分的Dirty Work,拖拖拉拉,動動小指,一段WCF程式就寫出來了,開開心心地做完測試,將包含WCF Service的ASP.NET部署到遠端機器上,再把Client端的Config指向遠端主機,理論上似乎就可以改測遠端主機連線模式: <client> <endpoint address=" httq://remoteMachine...
設計賓至如歸的HTTPS強制導向網頁
有個網站有較嚴的資安要求,因此在IIS管理員中將其設為必須使用SSL連線,當使用者使用HTTP而非HTTPS連線時,會看到403拒絕存取的錯訊訊息,不太友善: 403 - Forbidden: Access is denied. You do not have permission to view this directory or page using the credentials that you supplied. 嚴格說起來,這個訊息回應不夠人性,未導引使用者解決問題,所以我們來試做一個讓使用者有賓至如歸感受的HTTPS強制導向服務...
TIPS-解決WebClient存取https網站時SSL憑證不符問題
申請正式SSL憑證是要花錢的,在測試網站SSL連線或僅作內部應用時,我們常會用 SelfSSL 工具或是 Certificate Service 自己搞一張SSL憑證自嗨一番,反正一樣可以做到傳輸加密的效果。另外,還有一種狀況是網站雖有正式SSL憑證,但註冊的是外部DNS名稱,在內網必須用IP存取網站,此時也會出現URL與SSL註冊對象不同的情形。 當上述情境中,DIY憑證或外部用憑證會被瀏覽器識破,彈出警告訊息: 在瀏覽器上可以選擇無視憑證不符的瑕疵,繼續使用。但若問題發生在 WebClient...
小測微軟SQL Injection漏洞掃瞄工具
微軟日前推出了可以掃瞄ASP原始碼是否有 SQL Injection 漏洞的 工具 ,我的第一個念頭是,They really did it? 在我的認知裡,原始碼分析工具最有挑戰性的部分在於要能順著程式的邏輯跑,而不單只從字面上查,例如: Request("id")被指定成變數id,傳給函數GetInfo(id),函數中再呼叫RunGetInfoSel(id),使用者輸入的參數經過三手才被拿來組SQL指令字串(危險,勿學),除非分析工具一路追進函數中,才能解析出這裡隱含了SQL...
TIPS-小心Eval潛藏XSS漏洞
.NET 3.5裡多了些新玩意,看過保哥的 超完美組合:LinqDataSource + ListView + DataPager + jQuery 及Rick Strahl的 ListView and DataPager in ASP.NET 3.5 兩篇介紹ListView的文章,ListView對前端有極佳主控權的特色深得我心,我打算逐步在未來的專案中用ListView取代DataGrid或GridView。 不過我有注意到大部分文章在介紹Templated Control時都省略了資安風險的提醒...
游擊式的SQL Injection攻擊
最近處理了一個棘手的SQL Injection案例,又增長了一些見聞 (如果你身為網站設計人員卻不知道什麼是SQL Injection,建議你最好立即請假佯裝出國度假或雙手打上石膏裝殘,無論如何,在搞懂什麼是SQL Injection之前,務必暫停手邊的開發工作,以免在系統埋下更多的炸彈,遺害千年! 我有幾篇文章可以參考: ASP.NET防駭指南 、 你的網站在裸奔嗎? ) 這次遇到的狀況是發現網站上一些內容顯示有誤,似乎是HTML格式不對。仔細確認,發現資料庫中的所有varchar, nvarchar欄位資料後方都被加上了<...
更多文章
下一頁 »
搜尋
Go
<
January 2023
>
Sun
Mon
Tue
Wed
Thu
Fri
Sat
25
26
27
28
29
30
31
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
1
2
3
4
【廣告】
OrcsWeb: Windows Server Hosting
最新回應
2018-09-20 接手老專案的菜鳥
Windows 停用 TLS 1.0 之配套作業整理
黑大,謝謝您!
2018-09-20 Andy
KO範例6 - 陣列元素的新增/移除事件
Dear 黑暗大 感謝您,已成功將count後的數值寫入資料庫 利用您提供的方法...
2018-09-19 Jeffrey
KO範例6 - 陣列元素的新增/移除事件
to Andy, 如果你 ASP.NET 端是用 PostBack 方式取值,最簡單的做法是將...
2018-09-19 Andy
KO範例6 - 陣列元素的新增/移除事件
Dear 黑暗大 您好 我設計一個網頁,裡面有一些TextBox,其中還有如此範例的動態表格...
2018-09-18 Jeffrey
Windows 停用 TLS 1.0 之配套作業整理
to 接手老專案的菜鳥, support.microsoft.com/.../support...
2018-09-18 接手老專案的菜鳥
Windows 停用 TLS 1.0 之配套作業整理
黑大: 我有個系統是.NET 2.0開發的,如果安裝了.NET 4.5/或者4.6以及ADO...
2018-09-17 Jeffrey
CODE - WebClient 下載檔案自動取得檔名
to Slash, 感謝提醒,程式已修改強化。
2018-09-16 Slash
CODE - WebClient 下載檔案自動取得檔名
雖然與你分享這段小程式的目的不同,但還是要提醒Regex.Split這邊會有RFC5987的問題...
2018-09-06 打雜工程師
ASP.NET Core 值得學嗎?
黑大,我再跟BOSS討論看看,謝謝您^^
2018-09-03 Jeffrey
ASP.NET Core 值得學嗎?
to 打雜工程師, 1) 如果系統上線時程吃緊且不容閃失,用 ASP.NET MVC...
Tags 分類檢視
.NET
.NET Core
AJAX
Android
AngularJS
ASP.NET
ASP.NET MVC
ASP.NET保安
Autofac
Bicycle
C# 4.0
CODE
Coding4Fun
Collections
Community Server
Cordova
CSS
Dapper
Debug
EF
English
Entity Framework
Excel
Hiking
HTML5
IE
IIS
Java
Javascript
jQuery
JSON
KB
Kendo UI
knockoutjs
Life
Linq
Live SDK
Lucene.Net
Mobile
MSDTC
NLog
NuGet
OAuth
Open XML
ORACLE
Performance
PowerShell
Reporting Service
RESTful Web Service
Security
Sharepoint
SignalR
Silverlight
Skype
SQL
SQL 2000
SQL 2005
SQL 2008
SQLite
T4
TechEd
TFS
ThinkPad
Tips
Tools
Trouble-Shooting
TypeScript
Unobtrusive Validation
VBScript
Virus
Vista
Visual Studio
VS Code
VS.NET 2003
VS2005
VS2008
VS2010
VS2012
VS2013
VS2015
VS2017
Vue
WCF
Web
Windows 10
Windows 2008
Windows 2012
Windows 7
Windows 8
Windows Phone
Work
WP7
WPF
中文編碼
慢跑
潛盾機
科學實驗
自動測試
閱讀筆記
風花雪月
關於作者
一個醉心技術又酷愛分享的Coding魔人,十年的IT職場生涯,寫過系統、管過專案, 也帶過團隊,最後還是無怨無悔地選擇了技術鑽研這條路,近年來則以做一個"
有為的中年人
"自許。
文章典藏
September 2018 (5)
August 2018 (12)
July 2018 (8)
June 2018 (6)
May 2018 (19)
April 2018 (14)
March 2018 (10)
February 2018 (10)
January 2018 (14)
December 2017 (22)
November 2017 (12)
October 2017 (16)
September 2017 (9)
August 2017 (13)
July 2017 (16)
June 2017 (17)
May 2017 (9)
April 2017 (13)
March 2017 (15)
February 2017 (14)
January 2017 (12)
December 2016 (8)
November 2016 (11)
October 2016 (15)
September 2016 (11)
August 2016 (19)
July 2016 (16)
June 2016 (14)
May 2016 (20)
April 2016 (13)
March 2016 (15)
February 2016 (11)
January 2016 (16)
December 2015 (12)
November 2015 (15)
October 2015 (14)
September 2015 (25)
August 2015 (16)
July 2015 (13)
June 2015 (11)
May 2015 (12)
April 2015 (15)
March 2015 (17)
February 2015 (9)
January 2015 (12)
December 2014 (12)
November 2014 (15)
October 2014 (12)
September 2014 (22)
August 2014 (16)
July 2014 (17)
June 2014 (18)
May 2014 (11)
April 2014 (10)
March 2014 (14)
February 2014 (14)
January 2014 (4)
December 2013 (12)
November 2013 (11)
October 2013 (13)
September 2013 (15)
August 2013 (12)
July 2013 (13)
June 2013 (16)
May 2013 (20)
April 2013 (22)
March 2013 (15)
February 2013 (9)
January 2013 (10)
December 2012 (14)
November 2012 (10)
October 2012 (12)
September 2012 (30)
August 2012 (16)
July 2012 (17)
June 2012 (18)
May 2012 (9)
April 2012 (15)
March 2012 (12)
February 2012 (8)
January 2012 (6)
December 2011 (9)
November 2011 (11)
October 2011 (15)
September 2011 (15)
August 2011 (18)
July 2011 (24)
June 2011 (31)
May 2011 (16)
April 2011 (13)
March 2011 (13)
February 2011 (11)
January 2011 (15)
December 2010 (18)
November 2010 (12)
October 2010 (10)
September 2010 (18)
August 2010 (19)
July 2010 (22)
June 2010 (20)
May 2010 (19)
April 2010 (19)
March 2010 (24)
February 2010 (14)
January 2010 (24)
December 2009 (13)
November 2009 (14)
October 2009 (27)
September 2009 (20)
August 2009 (18)
July 2009 (18)
June 2009 (22)
May 2009 (14)
April 2009 (19)
March 2009 (17)
February 2009 (25)
January 2009 (16)
December 2008 (23)
November 2008 (20)
October 2008 (19)
September 2008 (21)
August 2008 (10)
July 2008 (16)
June 2008 (20)
May 2008 (20)
April 2008 (21)
March 2008 (18)
February 2008 (9)
January 2008 (18)
December 2007 (20)
November 2007 (22)
October 2007 (20)
September 2007 (23)
August 2007 (22)
July 2007 (19)
June 2007 (27)
May 2007 (22)
April 2007 (23)
March 2007 (23)
February 2007 (17)
January 2007 (9)
December 2006 (12)
November 2006 (15)
October 2006 (7)
September 2006 (9)
August 2006 (16)
July 2006 (14)
June 2006 (12)
May 2006 (12)
April 2006 (9)
March 2006 (4)
February 2006 (7)
January 2006 (8)
October 2005 (1)
August 2005 (1)
July 2005 (1)
June 2005 (2)
February 2005 (2)
January 2005 (5)
February 2004 (2)
January 2004 (13)
其他功能
這個部落格
Home
Syndication
Comments RSS