C# 如何拒绝恶意请求

我最近接管了一个应用程序，我们最近进行了应用程序扫描，我得到了一个标记为易受攻击的项目。报告建议的补救任务是拒绝恶意请求。报道称，appscan尝试：

以下更改已应用于原始请求：将HTTP标头设置为“”

在我们第一次运行appscan时，我就已经标记了这一点，并放置代码来检查是否提供了urlreferer，如果是，那么请确保它与url中的主机相同，否则将终止用户会话并重定向到登录页面。我们再次运行appscan，它再次被标记，我不知道如何处理这个问题

当我查看报告时，它显示它放入了虚假的referer，服务器以302状态响应，重定向，然后请求登录，服务器以202响应，给出它。Appscan推理说：

同一请求在不同会话中发送了两次，并收到了相同的响应。 这表明没有一个参数是动态的（会话标识符仅在 cookies），因此应用程序易受此问题的攻击

但答案不总是一样的吗？如果检查失败，后面是302，后面是202，则会出现重定向和登录页面，而不管用户是谁。有人知道怎么处理吗？我猜我可以将用户的会话id放入重定向url中，这样appscan就会看到是否不同，但我认为必须有另一种方法

---

这是一个.NET4应用程序。使用会话对象跟踪用户，如果有必要，则未使用表单身份验证。

设置viewstate用户密钥，参考： 这使得在没有访问最新页面和cookie的情况下发送查询变得更加困难

使用HttpException返回403（您可能还需要做一些额外的工作，以防止它变成500）

---

应用程序扫描有一个高度可识别的特征——它们在同一分钟内抛出100个异常。作为错误日志记录基础结构的一部分，您可能希望在同一分钟内显示5次异常后的验证码，或者显示应用程序扫描引发的错误的验证码，而您的应用程序从未引发过这些错误（例如非常长的URL、对.aspx应用程序中的.jsp文件的查询）。一旦一个appscanner被识别，你就会想通过总是重定向到错误页面来毒害他们的会话，直到他们解决capcha。不利的一面是，在应用程序引发异常（例如，当用户在文本框中放入>时出现安全错误）后，用户很难收到capcha。您可能希望也可能不希望为所有应用程序扫描程序（可能只是恶意扫描程序）实施此功能，这取决于您所在组织的动机。

ngx\u dynamic\u limit\u req\u module

---

ngx\u dynamic\u limit\u req\u模块

用于动态锁定IP并定期发布

我认为：与论坛网站不同，我们不使用“感谢”或“感谢任何帮助”或签名。看见“。这不是一个编程问题。@JohnSaunders下次会记住这一点。@spender appscan是一种ibm工具，它可以扫描应用程序并查找安全问题，如sql注入或csrf攻击，并在扫描期间标记这些问题，以便您可以在投入生产之前处理它们。我将尝试viewstate键，这实际上来自我们内部使用的ibm工具，而不是来自外部攻击者的扫描。虽然我相信这个工具是以用户身份登录的，但它会搞乱url和它发送到页面的请求，试图破坏某些东西。我将再次检查报告，如果攻击不是来自具有会话的用户，我将查看是否修复了它。您可能已经发现了这一点，但问题不是用户没有会话（每个人都有一个会话），也不是他们没有经过身份验证。CSRF攻击会诱使合法用户执行http GET和POST，其中包括会话和身份验证cookies，通常使用XHR，但XHR无法轻松访问最近请求的页面。这是一种复杂的进攻和复杂的防守。至于友好扫描和恶意扫描，我一直不明白为什么要扫描并修复所有漏洞，除了扫描简单高效之外。