问题标签 [websecurity]

我正在尝试创建一个控制台应用程序，该应用程序允许用户将大量用户从 CSV/Excel 文件导入现有的 ASP.Net MVC Web 应用程序。代码如下，取自遍历 ImportRecords 的 foreach 循环：

我知道 UserProfile 表肯定存在，并且连接字符串在其他地方使用，所以我知道这也很好；在这里都是一样的：

（方括号表示出于隐私考虑我删除了数据的位置）。

但是，我在发布的两行代码中的第一行出现以下异常：

尝试通过方法“WebMatrix.WebData.SimpleMembershipProvider.ConnectToDatabase()”访问方法“WebMatrix.WebData.DatabaseConnectionInfo.Connect()”失败。

没有内部例外或任何其他任何用途。我已经尝试重新安装、升级和降级 WebMatrix.Data 和 WebMatrix.WebData 但我不确定还有什么可以尝试的。任何想法将不胜感激！

安全配置不允许我在某些页面上使用 antMatchers()。下面是一个配置代码，我试图让未登录的用户访问“/”、“/entries”、“/signup”。使用“/signup”没有问题，它可以让我访问该页面，但如果我尝试访问“/”或“/entries”，它会不断将我重定向到登录页面。我试图在单独的 antMatchers() 和切换顺序中编写每个 uri，但到目前为止还没有运气。

我是安全方面的初学者，并且正在阅读有关主机标头注入的信息。我针对此漏洞测试了一个应用程序，并且可能存在一些请求，但开发人员实施了无缓存、无存储标志，并且此漏洞不在密码重置请求中。
所以第一件事是不会有缓存中毒。第二个是密码重置请求中没有发生。
据我了解，为了利用此漏洞，我更改了该主机标头。所以我想知道为什么它会是一个漏洞，为什么用户会更改应用程序的主机？以及攻击者如何利用它？

我知道这个问题可能会被理解为重复，但请相信我，我几乎搜索了所有网络，但找不到适合我的应用范围的答案。在 90% 的情况下，答案是“不，你不能因为安全问题。

我的应用程序具体设计为本地应用程序。我需要客户端工作站信任我的系统并让它操纵 F11 键。

我正在使用 ASP、jQuery、CSS3、HTML5、MySQL。

有没有办法做到这一点？我正在考虑类似 Java 小程序的东西。

我正在使用这个 JavaScript 代码：

Wich 运行良好，但如果按下 ESC 键或发生任何模式事件，它会将视口恢复到之前的大小。

我在 ASP.Net 中有一个软件应用程序，我有不同的按钮和链接标签，每个按钮都有类，例如添加按钮有 btnAdd 作为它们的类，并且一些标签使用类似的类。如果我想要控制级别的安全性，最好的方法是什么，例如不应允许 ID = 2 的用户单击某些 ABC 页面的 AddNew 按钮。

我的解决方案：我有几个解决方案，例如将类的名称存储在一个表中并将该表与 Pages Table 链接并将数据带入隐藏文本字段，然后在页面加载时，我们将检查是否允许此控件或不是。就像 btnAdd 允许可见而 btnSearch 不可见。

请找到所附图片以进行进一步说明。

假设我们在某种格式的隐藏字段中拥有权限。但这会是这样做的正确方法吗？请提出一些更好的解决方案。

作为安全测试的一部分，我构建了一个非常基本的 Chrome 扩展，目的是能够读取安全 cookie 以及 localStorage 数据。我设法让它工作，这本身就是一件很糟糕的事情，但是，在构建时我使用了以下行：

chrome.tabs.executeScript(tabs[0].id, {code: '...'});

现在，根据我的理解，这行代码实际上将允许您在页面上执行任何 javascript，当然前提是用户已同意权限。

有了这个，即使打开了 CSP 标头，任何人都可以很容易地创建一个扩展来完成我上面所做的事情。

使用扩展程序将 Javascript 注入网页应该那么容易吗？确定不是！？

请记住，我在我的机器上以开发者模式运行扩展程序，并没有将其发布到 Chrome 商店，但我没有看到任何关于扩展程序被批准的信息，只是它们被批准并立即生效。

如果设计上可能发生这种情况，是否有任何方法可以防止这种情况发生？是否有任何 CSP 标头等可以帮助防止这种情况？

非常感谢大家

对不起，这样的新手问题。

我对网络安全相当陌生。

有人可以向我解释一下，当我可以包含 { username | 每个 API 请求的电子邮件 } / 密码？

我正在为政府开发数据应用程序，我有一种情况，我需要在一个页面中将数据共享给所有用户，但具有不同的权限级别，可以根据位置控制授权，而不仅仅是简单的管理员和查看者或编辑角色。例如，我有一个位置表，其中包含分层模式的区域、城市和地区，并且页面上显示的所有数据都会受到此位置更改的影响，然后获得城市授权的用户只能看到相关的数据到这个城市，用户可以在页面内获得多个城市和多个数据集的授权，如果我们在记录中维护用户，那么我们需要记录数乘以授权位置，再乘以授权数据集，可以是无穷大。那又怎样'为与特定位置相关的每条数据记录存储这些用户角色的最佳实践是什么？

正如我们已经知道的，可以使用外部代理工具修改 URL 和 FORM 范围变量。

例如，如果有人提出这样的请求 -http:\\website\index.cfm?a=1&b=2

这样就可以将值添加到.cfm页面的 URL 范围。

同样，是否有任何方法可以在 ColdFusion 中添加/更改请求范围的值，而无需在代码中明确设置。

我问这个是因为我们在一个 CFM 页面中有这样的代码。

安全团队说上述代码很容易受到攻击，因为REQUESTJAVA 中的范围可以被外部代理工具篡改/更改。由于 ColdFusion 是基于 JAVA 构建的，ColdFusionREQUEST也可以被外部代理工具篡改。这是一个正确的假设吗？JAVA 和 ColdFusionREQUEST范围相同吗？

最后是主要问题 - 是否有任何方式对示例中上述页面的外部请求，修改REQUEST范围或更精确的REQUEST.uploadFileDir变量？

在_PageStart.[vb/cs]html如何防止运行请求的页面？

例子：

在_PageStart您检查经过身份验证的用户的角色时，如果不是您的特殊角色，则显示一条消息而不是运行页面？

我的代码在_PageStart.vbhtml