.NET——aspx
Windows——IIS——aspx--SQL sever
.NET源码反编译-DLL反编译
.net的bin下一般是可执行文件,比如.dll文件、.pdb文件等,将代码封装到dll文件,并调用dll文件实现网站功能,所以对dll文件进行反编译查看源码.
反编译的工具:ILSpy
.NET配置调试-信息泄露
文件信息包含了网站的数据库连接,网站类型,版本号等
在.net Web开发的程序中,一般是有web.config 配置文件
其中的customError mode:自定义错误 mode=off/true/
当为off状态时,如果出现访问错误,由系统指定页面的报错回显内容,会暴露系统版本甚至相关代码,文件路径
当为on状态时,如果出现访问错误,由自身指定页面回显的报错内容是什么,这样就可以避免信息泄露。
.NET常见安全问题-未授权访问
未授权访问:没有经过身份验证进行非法访问 比如未登录访问到会员页面,普通账户进入到管理员页面
- 前台未授权访问:未经授权的用户可以访问到应用程序的前台功能,如浏览网页、提交表单、查看内容等。这可能导致敏感信息泄露、功能被滥用或修改、用户权限被提升等安全问题。
- 后台未授权访问:未经授权的用户或攻击者可以直接访问到应用程序的后台管理界面、控制台或API接口。这可能导致对系统进行非法操作、敏感数据泄露、服务拒绝等安全问题。
由于后台本身有多个功能文件页面,代码中怎么判断用户的身份?
1、在每个文件里面添加判断代码
2、创建一个文件专门来判断,其他文件包含调用它
找未授权访问:
1、找那些文件没有包含验证代码文件
2、验证代码文件有没有可以绕过
WEb漏洞 服务-中间件-数据库-第三方软件
Comments NOTHING