关于我的这段话:question。 我下面回答是,在网上汇辑中添加这一点。 它还解决了问题。 但现在我的问题是,是否存在任何类型的安全威胁? 如果是,它会多么严重? 这种威胁会是什么? 你在这里提出其他建议。
<configuration>
<system.web>
<webServices>
<protocols>
<add name="HttpGet"/>
<add name="HttpPost"/>
</protocols>
</webServices>
</system.web>
</configuration>
HttpGet和HttpPost因违约而残疾,其原因是,可以很容易地将海利用于XSS的攻击。 http://msdn.microsoft.com/en-us/library/ff648667.aspx”rel=“nofollow noreferer” http://msdn.microsoft.com/en-us/library/ff648667.aspx :
通过拆除不必要的议定书,包括HttpPost和HttpGet,你减少了攻击表面面积。 例如,外部攻击者有可能在电子邮件中安装恶意链接,利用终端用户的安全背景执行内部网络服务。 取消HttpGet议定书是一种有效的反措施。 在许多方面,这类似于特别安全局的攻击。 这一袭击的变式使用一个公共网页上的贴标签,将全球教育运动的电话带上互联网服务。 这两项袭击都允许外部人员援引内部网络服务。 拆卸议定书减轻了风险。
关于XS袭击事件的详情,见。 。
我通常避免使用HttpGet和HttpPost。 如果它是一个网络服务,以任何方式管理资金,我就不惜一切代价这样做。 尽可能利用SOAP网络服务。
总的来说,当你执行一个基本的SOAP网络服务时,你正在向世界提供好坏的服务。 你在守则中必须考虑的主要担忧是确认投入。 尤其接受扼杀可能非常有害。 如果有“ANY”数值的话,数字可以是你可以处理,看看它,不继续处理。 如果你接受扼杀,确保你彻底清醒(ook弄和怀疑半殖民地,并逃避你看到的每一项“特殊性质”。
在Kalk的电梯中使用未经净化的插座的神经服务受到共同攻击,可能像“ABC ;原始数据库主线”; 如果您的法典在不通知人工盘问终止和恶意书写的情况下将这种说法注入了库里,你可以 next清你的桌子。 解决办法非常简单;逃避单一报价,用ASCII或Unicode代表来取代半殖民地,而你可以从(或简单地将其 out掉)上调回,服务呼吁将视之为停车场。
这带来了第二点;你的网络服务,尽管它们重新调整了你的代码,但也应成为你系统其他部分的极大怀疑对象。 网络服务应使用非行认证,提供尽可能少的聘用许可。 如果您的服务使用一名管理人或DBO的标识,你几乎肯定是错误的;如果通过,上述询问实际上将会执行,而你的主行正在使你的银行服务器无法操作。 如果您的服务使用的标志非常严格地控制了许可证,只控制了服务所需的内容,那么,服务器会起作用,但这肯定比失去主行更可取。
此外,非常谨慎地处理例外情况。 一个信息不全的例外情况,将像一项有效结果一样通过《国家行动计划》予以退回,这可以包括机密信息,鼓励攻击者试图使你的工作成为一种例外,而这种例外对服务背后的执行情况提供了有用的信息。 卡福尔克/解放军的例外情况对袭击者来说是微不足道的,因为它们提供了关于你的数据结构的信息,可以用来制造麻烦。 寻找可能把例外情况置于你控制之外的东西,并在《刑法》或比你的法典更深入地处理局势。 寻找所有例外通常都是其他地方的不良做法,但“副渔获物和释放”与一些盐碱化一样,在这方面是一个好的想法,而通常显示例外情形的500个大错改方向是网络圈中常见的做法。 如果你想要或不得不在你们的法典中提出一个例外,那么仔细地制定,不包含你们不想要世界知道的任何信息。
从建筑角度看,你把服务视为隔离墙的电离层。 这些小ug是你想的(权力)走出隔离墙的独一无二的途径。 你们知道有J-方框、管道、开关等,但你可以不做很多(打字)的 ha。 在进行这种类比之后,应当确定你的终点,以听取具体、已知的港口的意见,该系统的其余部分应当像外部的隔离墙那样看待;所有其他港口都应关闭。
我认为,你们应该迁移到以世界合作框架为基础的网络服务。 除世界气候基金拥有超过十倍的其他惠益外,世界气候基金4还根据吉大港山区接收头盔或与请求信息格式不相同的自动反应格式选择(json或xml)。
一般来说,如果公众面临网络服务,那么监督事务司的攻击就是你应当担心的事。 最为糟糕的是,它会毁掉你的工作,它最好会剥夺你们的核武器国家的合法呼吁者。 Maled SOAP information, XML炸弹可用于监督事务司的攻击。
In my webpages I have references to js and images as such: "../../Content/Images/"Filename" In my code if I reference a file as above, it doesnt work so i have to write: "c:/miscfiles/"filename" 1-...
I m the only developer in my company, and am getting along well as an autodidact, but I know I m missing out on the education one gets from working with and having code reviewed by more senior devs. ...
Heres the problem, In Masterpage, the google analytics code were pasted before the end of body tag. In ASPX page, I need to generate a script (google addItem tracker) using codebehind ClientScript ...
I m looking for best practices here. Sorry. I know it s subjective, but there are a lot of smart people here, so there ought to be some "very good" ways of doing this. I have a custom object called ...
I am implementing Transaction using TransactionScope with the help this MSDN article http://msdn.microsoft.com/en-us/library/system.transactions.transactionscope.aspx I just want to confirm that is ...
i have the following base controller... public class BaseController : Controller { protected override void Initialize(System.Web.Routing.RequestContext requestContext) { if (...
For what it is necessary Microsoft.Contracts namespace in asp.net? I mean, in what cases I could write using Microsoft.Contracts;?
I d like to add a simple separator line in an aspx web form. Does anyone know how? It sounds easy enough, but still I can t manage to find how to do it.. 10x!