你希望在初学者身上看到什么；s ASP.NET安全手册

这是为我自己的书做的一个无耻的信息收集练习

我在社区中做的一个讲座是介绍网站漏洞。通常在演讲期间，我能看到至少两名听众脸色苍白；这是基本的东西，跨站点脚本，SQL注入，信息泄漏，跨站点表单请求等等

所以，如果你可以回想一下，作为一个刚开始的web开发人员（无论是ASP.NET还是其他），你觉得什么是关于web安全的有用信息，以及如何安全地开发？我已经在报道了

（是的，这意味着如果有人提出我还没有想到的东西，stackoverflow将出现在确认列表中！）

---

现在已经完成并发布了，感谢大家的回复

防御编程作为一个原型主题，涵盖了所有特定的攻击，因为大多数（如果不是全部的话）攻击都是由于没有充分考虑防御而引起的

把那个主题作为这本书的中心栏目。那时候对我有好处的是，我知道了一些技巧，永远不要相信任何东西，而不仅仅是一站式提示，比如“不要在输入中使用SQL注释或特殊字符”

---

另一件有趣的事情是，我想在前面学到的是如何实际测试它们。

首先，我要指出web的不安全性，使人们能够接受这些不安全性，对他们来说，考虑到安全性进行开发可能（不幸地）是一个新概念。例如，向他们展示如何拦截HTTP头并实现XSS攻击。你想让他们看到这些攻击的原因是为了让他们自己更好地了解自己在防御什么。除此之外谈论安全性是很好的，但是如果不了解他们要阻止的攻击类型，他们就很难准确地“测试”他们的系统的安全性。一旦他们能够通过截获消息、欺骗头等来测试安全性，那么他们至少知道他们试图实现的任何安全性是否有效。你可以自信地教给他们任何你想要的实现安全性的方法，知道如果他们弄错了，他们实际上会知道，因为这会使你教给他们尝试的安全测试失败。

我认为所有漏洞都是基于程序员没有思考，或者是一时的判断失误，或者是他们没想到的事情。我负责“修复”应用程序中的一个大漏洞是，当登录的用户是管理员时，他们从身份验证方法返回了0（零）。由于变量最初初始化为0，因此如果出现任何问题，例如数据库关闭，从而导致它抛出异常，则会引发异常。变量将永远不会被设置为正确的“安全代码”，用户将拥有对站点的管理员访问权限。在这个过程中产生了绝对可怕的想法。因此，这就引出了一个重要的安全概念；永远不要将代表“安全级别”或类似级别的变量的初始值设置为代表站点完全控制的值。更好的是，使用已经在大量生产环境中使用了很长一段时间的现有库

我想看看ASP.NET安全性与ASP经典安全性有何不同。

很高兴听到您将获得OWASP前十名。为什么不包括对SANS/CWE前25个编程错误的报道。

我总是试图展示可能出错的最坏情况。例如，跨站点脚本注入如何作为黑盒攻击工作，甚至在黑客无法访问的应用程序页面上工作，或者SQL注入如何作为黑盒工作，即使您的网站使用普通的非特权登录帐户连接到数据库。

如何确保您的安全方法可通过SQL Server进行扩展。特别是如何避免SQL Server序列化来自多个用户的请求，因为它们都使用相同的ID连接。

Arf；但它是.net，不是ruby，所以我必须使用armadillos。事实上，这正是我要去的地方（谢谢你确认我走的是正确的路线）。第一章将是对fiddler grin的介绍，每章都将以“这是一些代码，这是攻击，这是正式名称”开始，然后是一个讨论，以及如何纠正它。嗯，考虑到经典ASP在ASP classic中使用HtmlEncode的日子里很少有grinBack，这很有趣。我们没有使用它，但它确实存在：-），因为我只有200-350页。我希望它作为一个温和的介绍，并保持合理的通用性。此外，SANS的错误重复了很多，并且不是特定于web的。“现在都完成了，并且发布了，谢谢大家的回复”。Oeps。。我迟到了一点：-）