.NET开发人员容易犯的6大安全错误
HP的白皮书《Top six security mistakes .NET developers make : are your web applications vulnerable ?》中提到:行业分析估计超过70%的安全问题是伴随应用程序一起发生的,很多是由于代码的安全性缺陷造成的。
; ]- }% `( S/ A& Z9 f E; u7 T: c2 ^9 ]% }2 d& ~) k% W- N
微软在.NET中增加了不少的安全特性来帮助开发人员创建更加安全的应用程序。但是并不是每位开发人员都很好地使用了它们。
6 I8 T& @9 `. R
& i0 v4 K! u6 [3 T$ s 文中列出了.NET开发者在安全性方面通常会犯的6个主要的错误:
0 I9 n* \9 X" n2 c* b: L. X. h4 s# ?2 ^$ i! p8 g9 w) @+ B
1、在开发过程中没有把安全考虑进去。
9 a4 x2 B8 L+ D! D+ c7 L
+ ?- Z: [" m6 ?. Q0 D3 `2、SQL注入(SQL injection)。
! p) g1 C4 M( j$ f- q8 y3 T/ j( |: l& T- v7 q
3、跨站脚本(Cross-site scripting)。- D# `8 |) w7 N6 P
7 Z" t o4 t4 G: A: ?6 t" W
4、把用户输入作为文件名。
! b( k: {# t* H+ R% x. G/ q) \8 [9 b' Y
5、不恰当地使用cookies和隐藏参数(hidden parameters)。: W& H, s# z8 w
7 K9 J# r% W- m: h& @* Q6 D( q1 g6、在Web.config文件中使debug选项可用
