在ASP.NET应用程序上工作我已经使用自定义实现了页面级访问控制,HttpModule这HttpModule会拦截每个传入的请求并检查连接的用户是否可以访问请求的页面,如果不能将他重定向到错误页面。
- 这种方法是否足以保证应用程序的安全性,还是很容易绕过它,
- 你有什么建议来改进它?
提前致谢。
问问题
564 次
2 回答
3
只要标准库中没有任何内容可用于您想要的,这应该没问题,前提是您已经充分测试了您的模块。如果不访问服务器本身来修改 web.config 文件,您就无法绕过 HttpModule,如果攻击者已经这样做了,那么您最不用担心了!
如果标准库中有可以使用的东西,你应该更喜欢这个,因为它不可避免地会被其他人广泛测试!
我建议为您的模块编写一套体面的单元测试,因为它将构成您应用程序的主要防线!
于 2012-06-11T15:15:44.090 回答
1
这种方法是否足以保证应用程序的安全性,还是很容易绕过它,
确保每个用户都有权调用 URL 就足够了。
它无法保护您免受构成 SQL 注入基础的常见攻击 - 错误的参数验证和 SQL 原子的文本。
于 2012-06-11T15:12:31.370 回答