Security 经典ASP中的OWASP
我正在尝试将OWASP与一些经典的ASP应用程序一起使用,但没有找到很多关于如何操作的信息,比如一步一步 该网站似乎是一个启动点:但有人有视频,还是一步一步Security 经典ASP中的OWASP,security,asp-classic,owasp,Security,Asp Classic,Owasp,我正在尝试将OWASP与一些经典的ASP应用程序一起使用,但没有找到很多关于如何操作的信息,比如一步一步 该网站似乎是一个启动点:但有人有视频,还是一步一步 非常感谢。经典ASP中没有真正的安全性 没有身份验证模型,因此每个应用程序都必须自己做 事情 会话管理薄弱,无法轮换 会话标识符或防止会话劫持。没有 反CSRF支持 没有授权模型,因此每个应用程序都有 做自己的事。这意味着大多数经典的ASP应用程序 演示文稿、业务逻辑和数据的访问控制问题 模型层。 与大多数输入验证一样,输入验证也很弱 字符
非常感谢。经典ASP中没有真正的安全性 没有身份验证模型,因此每个应用程序都必须自己做 事情 会话管理薄弱,无法轮换 会话标识符或防止会话劫持。没有 反CSRF支持 没有授权模型,因此每个应用程序都有 做自己的事。这意味着大多数经典的ASP应用程序 演示文稿、业务逻辑和数据的访问控制问题 模型层。 与大多数输入验证一样,输入验证也很弱 字符串替换,这是不够的。 只有 用于输出编码的server.htmlencode和urlencode,但没有 其他10个左右的输出上下文的其他方法,因此XSS是 可能的 除了使用 存储过程,但如果您做得不好,这将充满风险。 没有ActiveX服务器就没有简单的日志记录方法 对象调用Win32 api以使用Windows事件日志。这是 既不简单也不简单,因为这些设计用于 本地化的资源,不像syslog。 安全配置 在ASP中,它是最小的,反映了它简单而古老的根源。 在代码或global.asa中,您几乎无法改进 东西。 有人试图将ESAPI移植到经典ASP。我认为他们还没有完成。您可能可以通过COM导出使用ESAPI for.NET,但我不认为它一定能工作 在此阶段,您应该研究升级到ASP.NET 4.0或更高版本 谢谢 安德鲁·范德斯托克
OWASP开发者指南2013 leader经典ASP中没有真正的安全性 没有身份验证模型,因此每个应用程序都必须自己做 事情 会话管理薄弱,无法轮换 会话标识符或防止会话劫持。没有 反CSRF支持 没有授权模型,因此每个应用程序都有 做自己的事。这意味着大多数经典的ASP应用程序 演示文稿、业务逻辑和数据的访问控制问题 模型层。 与大多数输入验证一样,输入验证也很弱 字符串替换,这是不够的。 只有 用于输出编码的server.htmlencode和urlencode,但没有 其他10个左右的输出上下文的其他方法,因此XSS是 可能的 除了使用 存储过程,但如果您做得不好,这将充满风险。 没有ActiveX服务器就没有简单的日志记录方法 对象调用Win32 api以使用Windows事件日志。这是 既不简单也不简单,因为这些设计用于 本地化的资源,不像syslog。 安全配置 在ASP中,它是最小的,反映了它简单而古老的根源。 在代码或global.asa中,您几乎无法改进 东西。 有人试图将ESAPI移植到经典ASP。我认为他们还没有完成。您可能可以通过COM导出使用ESAPI for.NET,但我不认为它一定能工作 在此阶段,您应该研究升级到ASP.NET 4.0或更高版本 谢谢 安德鲁·范德斯托克
OWASP开发者指南2013 leader您可以使用Microsoft AntiXSS(一个.Net库)代替OWASP。唯一的问题是,您不能直接从经典Asp实例化它。 您必须创建一个从COM可见的.net dll,并在其中包装来自AntiXS的函数
下载:您可以使用Microsoft AntiXSS,它是一个.Net库,而不是OWASP。唯一的问题是,您不能直接从经典Asp实例化它。 您必须创建一个从COM可见的.net dll,并在其中包装来自AntiXS的函数 下载: