Chia sẻ Chặn hacker SQL Injection với ASP

Thảo luận trong 'Lập Trình ASP.NET ( C++ , C# ... )' bắt đầu bởi svm, 2/9/15.

  1. svm

    Hầu hết các công ty ngày nay đều cho phép người dùng cũng như khách truy cập có thể đăng tải và thu hồi dữ liệu được lưu trên cơ sở dữ liệu của máy chủ. SQL Injection là một cách để vượt qua lệnh SQL được dùng trong ứng dụng Web để truy cập cơ sở dữ liệu. Một khi SQL injection vượt qua được lệnh SQL, hacker có thể thu thập dễ dàng cơ sở dữ liệu của công ty và sao chép lại hoặc thậm chí chúng còn xóa sạch toàn bộ cơ sở dữ liệu. Hầu hết mục tiêu tấn công của SQL injection là những trang có yêu cầu đăng nhập, có yêu cầu nhập thông tin và gửi lại phản hồi, tính năng tìm kiếm có trên trang web cũng như những trang web thương mại điện tử.

    Dưới đây là một số cách để chặn hacker SQL injection với ASP.

    • Xác nhận loại, định dạng, độ dài, của dữ liệu quan trọng và hạn chế đầu vào với một danh sách các ký tự có thể chấp nhận được. Bạn cũng nên sử dụng một số biểu thức giúp từ chối các ký tự không bao gồm trong danh sách các ký tự hợp lệ. Đầu vào sẽ bị hạn chế bởi mã hóa từ máy chủ của trang web đã được tạo với ASP.NET. Bằng cách sử dụng RegularExpressionValidator, bạn có thể hạn chế đầu vào của quản lý Textbox

    • Bạn có thể hạn chế số thứ tự có xuất phát từ nguồn khác bằng cách sử dụng phân loại Regex từ vùng System.Text.RegularExpressions.

    • Những người lập trình web nên sử dụng xác nhận đầu vào trong quá trình lập trình trang web để nhận dạng tấn công SQL injection. Phòng chống là vấn đề cốt lõi. Bạn nên đặt các vấn đề bảo mật đúng chỗ để có thể ngăn chặn tấn công từ sự tấn công thiết lập từ trang web bằng cách giả định toàn bộ truy cập vào là mã độc. Tất cả những truy cập vào đều được xác nhận như form fields, cookies và query string parameters bằng cách sử dụng quản lý xác nhận ASP.NET.

    • ASP.NET yêu cầu xác nhận trong suốt quá trình phát triển trang web sẽ nhận dạng được tấn công SQL injection. Yêu cầu này sẽ phát hiện tất cả các html và các loại ký tự khác được đăng tải trên trang chủ và ngăn chặn người dùng từ các script có chứa mã độc tới các ứng dụng và kiểm tra tất cả các dữ liệu vào đối với danh sách có độ nguy hiểm cao nhất. Yêu cầu xác nhận này được bật mặc định. Hãy chắc chắn rằng bạn không thay đổi cài đặt này.

    • Nếu ứng dụng web bắt buộc phải chấp nhận cá html, bạn sẽ phải tắt yêu cầu xác nhận ASP.NET và thay thế với một bộ lọc giúp bạn chấp nhận những mã html có hạn chế. Bộ lọc sẽ chỉ chấp nhận những mã html an toàn và những mã html giải được mã. Phương pháp này sẽ thay thế các ký tự có ý nghĩa đặc biệt với format html.

    Quá trình xác nhận có thể thực hiện bởi ngưởi quản trị với sự hiểu biết về cơ sở dữ liệu và ứng dụng ASP.net cũng như hiểu biết về script PHP. Nếu ai không có kiến thức chuyên môn mà thực hiện quá trình này, bạn đang đẩy cơ sở dữ liệu của công ty mình vào nguy hiểm. Hơn nữa, hãy chú ý rằng các lệnh đã được trích từ hướng dẫn của ASP.net.
     
    : lap trinh
  2. hieuhana

    hieuhana New Member Mem tích cực

    Bài viết:
    6
    Đã được thích:
    1
    Cái này chỉ đúng với ASP thường. ASP.NET hiện đã khắc phục bằng MVC rồi.
  3. hungvannguyen

    hungvannguyen

    Bài viết:
    2
    Đã được thích:
    0
    THÔNG BÁO TUYỂN SINH KHÓA ĐÀO TẠO CHUYÊN MÔN BUSINESS ANALYST TRÊN DỰ ÁN

    BA giữ một vị trí có vai trò quan trọng trong mỗi doanh nghiệp, với mức thu nhập cao và ổn định, BA được xem là một trong những ngành nghề hot trên thế giới. Tuy nhiên, hiện nay tại Việt Nam, BA vẫn còn là nghề khá mới, với số lượng người biết đến cũng như thông tin chính thức chưa nhiều, đây được xem là một “vùng đất mới” cần khai thác và phát triển.

    * Sẽ rất hưu ích nếu bạn là:
    - Chuyên viên phát triển/ kiểm tra phần mềm hoặc công việc liên quan đến công nghệ thông tin(CNTT), những người đã có một nền tảng tốt về công nghệ mong muốn học hỏi kiến thức của BA và thử sức với vị trí chuyên viên phân tích nghiệp vụ phần mềm.
    - Chuyên viên phân tích nghiệp vụ phần mềm có kinh nghiệm dưới 1 năm muốn phát triển kỹ năng khai thác và phân tích yêu cầu của khách hàng.
    - Sinh viên công nghệ có đam mê khai thác và phân tích các yêu cầu của khách hàng.

    * Bạn nhận được gì sau khóa học:
    - Hiểu rõ được các vấn đề cơ bản của phân tích doanh nghiệp và tác động của nó đối với việc lựa chọn dự án.
    - Thu thập và ghi chép lại các yêu cầu của khách hàng bằng nhiều kỹ thuật.
    - Kiểm tra các nguyên tắc cơ bản và đảm bảo chất lượng.
    - Các nguyên tắc cơ bản của mô hình hóa quy trình.
    - Yêu cầu xác nhận thông qua mô hình hóa dữ liệu.

    Nhằm đáp ứng nhu cầu của các bạn, IMicroSoft thông báo tuyển sinh khóa đào tạo chuyên môn: Business Analyst phân tích yêu cầu doanh nghiệp trên dự án.

    - VĂN PHÒNG ĐÀO TẠO TẠI HÀ NỘI
    - Địa Chỉ: Tầng 2B, tòa nhà T6-08 Tổng Cục 5, Bộ Công An, Số 643A Phạm Văn Đồng, B.Từ Liêm, Hà Nội.
    - Điện thoại: (024)3 7557 666 - (024)3 7557 333 - 0916 878 224
    - Email: tuvan@imicrosoft. edu. vn
    - Facebook: facebook. com/imicrosoft. edu.vn
    - Website: www. imicrosoft .edu.vn

Chia sẻ trang này