处理 ASP.NET 应用程序我已使用自定义 HttpModule 实现了页面级访问控制,此 HttpModule 拦截每个传入请求,并检查连接的用户是否可以访问请求的页面,如果没有,则将其重定向到错误页面 .
ASP.NET
HttpModule
这种方法是否足以保证应用程序的安全性,或者是否容易绕过它,
你有什么建议来改进它?
提前致谢 .
只要标准库中没有任何内容可以用于您想要的内容,只要您对模块进行了充分测试,这应该没问题 . 如果没有访问服务器本身来修改web.config文件,你就无法绕过HttpModule,如果攻击者已经这样做了,那么这是你最不担心的事情!
如果标准库中有某些东西可以使用,你应该更喜欢这个,因为它不可避免地会被其他人广泛测试!
我建议为你的模块编写一套不错的单元测试,因为它将构成你应用程序的主要防线!
确保每个用户都有权调用URL是很好的 .
它并不能保护您免受构成SQL注入基础的常见攻击 - 错误的参数验证和文本到SQL atocieties .
2 回答
只要标准库中没有任何内容可以用于您想要的内容,只要您对模块进行了充分测试,这应该没问题 . 如果没有访问服务器本身来修改web.config文件,你就无法绕过HttpModule,如果攻击者已经这样做了,那么这是你最不担心的事情!
如果标准库中有某些东西可以使用,你应该更喜欢这个,因为它不可避免地会被其他人广泛测试!
我建议为你的模块编写一套不错的单元测试,因为它将构成你应用程序的主要防线!
确保每个用户都有权调用URL是很好的 .
它并不能保护您免受构成SQL注入基础的常见攻击 - 错误的参数验证和文本到SQL atocieties .