Browse by Tags

多想兩分鐘,你可以不用 validateRequest="false"(WebForm版)
接續 前一篇 不關閉validateRequest下允許傳送XML內容的議題,有人問起,我才想到該文只示範了AJAX做法,壓根忘了提WebForm環境下應如何處理。 以下是我會採用的處理方式。原理上還是透過encodeURIComponent()及HttpUtility.UrlDecode()分別在Client端與Server端加解碼,只是要額外動些手腳: 在網頁上放一個<asp:HiddenField>作為實際的傳值容器。 供使用者輸入的<textarea>或<input...
多想兩分鐘,你可以不用 validateRequest="false"
先來看以下的程式,網頁上放了一個<textarea>及<input type="button">,按鈕後以$.post()方式將<textarea>的內容送至ASP.NET Server端程式,在Page_Load中讀取Request["data"]並顯示出來,另外並透過$.ajaxSetup()指定error錯誤事件函數,捕捉並顯示伺服器端的錯誤資訊。 <%@ Page Language="C#"...
換裝reCAPTCHA
自從 三年多前 加裝了TrimothyHUmphrey’s CAPTCHA,一直以來抵抗垃圾留言效果還不錯,但最近似乎有被攻破的嫌疑,隔一陣子會密集冒出好幾則無意義的洋文垃圾留言: 最近兩次都是一口氣被塞了10則以上,刪留言刪到火氣都上來了。心一橫,決定換上口碑不錯的 reCAPTCHA ,看看是否防禦效果會更好些。(延伸閱讀: 介紹好用工具:reCAPTCHA (免費的 CAPTCHA 驗證服務) by 保哥 ) 說來reCAPTCHA是個有趣的點子,特別挑選OCR程式無法識別的紙本掃瞄內容當考題...
Posted 15 March 2011 01:35 AMJeffrey | 2 comment(s) 5,756
Filed under: ,
【茶包射手日記】ASP.NET寫Log檔的多執行緒問題
小熊子 提供日常生活茶包一枚,某機上盒設備偶然在液晶電視彈出以下訊息: 看起來是ASP.NET程式錯誤,雖然接到電視時畫面周圍被截,但仍看得出是同時寫入Log檔的多條執行緒在打架所致。頓時有熟悉的感覺: 啊! 這茶包我也嚐過。 由錯誤訊息所 暗示 的片段程式碼(錯誤示範! 正式台web.config應啟用customErrors,避免錯誤細節及程式碼被閒雜人等掌握),推敲原來的程式碼如下: public static void WriteLog( string sErrMsg) { StreamWriter...
ASP.NET保安系列 - 常被遺忘的伺服器端驗證
【ASP.NET保安系列前言】 我一直對資安十分敏感,而剛好身為一位網站開發人員,自然對系統架構的安全格外關注,過去已寫過不少文章討論網站設計上的安全議題。例如: ASP.NET防駭指南 、 你的網站在裸奔嗎? 、 游擊式的SQL Injection攻擊 、 瀏覽器XSS防身術比武大會 、 隱含殺機的GET式AJAX資料更新 ...  很遺憾地,常有題材可以討論,意味著因程式寫法疏失產生資安風險的問題沒消失過,而隨著技術推陳出新,又會有新陷阱冒出來。結論是,身為網站開發人員,永遠鬆懈不得...
莫等待,莫依賴,快把ASP.NET安全更新裝起來!
ASP.NET安全弱點 的安全更新程式已 在9/28釋出 ,也如ScottGu所預告,很快被加進Windows Update自動更新機制中! (Windows Update會依OS及.NET版本決定更新程式,快點去檢查更新並安裝吧!) 請大家儘速對所有ASP.NET主機進行安全更新, 愈快愈好 !! 看了 Scott的公告 ,我整理幾點注意事項如下: 由於此一資安漏洞已被公開,所以很有可能有人已製作了駭客程式,準備攻擊沒有修補漏洞的ASP.NET主機。 如果不想讓你的ASP.NET網站變成待宰羔羊...
Posted 01 October 2010 07:58 PMJeffrey | with no comments 6,149
Filed under: ,
【重要消息】ASP.NET安全弱點更新程式出爐了!
關於上週發佈的 ASP.NET安全弱點 ,MS已 釋出 安全更新了!! (向爆肝的程式開發人員致意~) 各.NET版本的安全更新目前已可由Microsoft Download Center 下載 : .NET 1.1 Security Update for Microsoft .NET Framework 1.1 Service Pack 1 and Windows Server 2003 Service Pack 2 (32-bit) Security Update for Microsoft...
Posted 29 September 2010 07:00 AMJeffrey | 4 comment(s) 10,374
Filed under: ,
【重要提醒】請全面檢視並修改web.config customErrors!
兩天前微軟公佈了 Microsoft Security Advisory (2416728) - Vulnerability in ASP.NET Could Allow Information Disclosure 安全漏洞,ScottGu也在部落格文章: Important: ASP.NET Security Vulnerability ,警告此一弱點的嚴重性。關於此弱點的細節,保哥在 這篇網誌 提供了詳細的說明。 這個弱點具有極高威脅性,由於目前還沒有修補程式,因此可能引發 零時差攻擊 。建議大家即刻全面體檢所有上線ASP...
【茶包射手專欄】跨機器之WCF認證問題
這是我的經驗。開發WCF Service時先在本機上寫Service及Cient,Visual Studio及.NET Framework做掉了大部分的Dirty Work,拖拖拉拉,動動小指,一段WCF程式就寫出來了,開開心心地做完測試,將包含WCF Service的ASP.NET部署到遠端機器上,再把Client端的Config指向遠端主機,理論上似乎就可以改測遠端主機連線模式: <client> <endpoint address=" httq://remoteMachine...
Posted 30 July 2010 04:22 PMJeffrey | 4 comment(s) 10,636
Filed under: ,
設計賓至如歸的HTTPS強制導向網頁
有個網站有較嚴的資安要求,因此在IIS管理員中將其設為必須使用SSL連線,當使用者使用HTTP而非HTTPS連線時,會看到403拒絕存取的錯訊訊息,不太友善: 403 - Forbidden: Access is denied. You do not have permission to view this directory or page using the credentials that you supplied. 嚴格說起來,這個訊息回應不夠人性,未導引使用者解決問題,所以我們來試做一個讓使用者有賓至如歸感受的HTTPS強制導向服務...
Posted 22 July 2010 06:23 AMJeffrey | 11 comment(s) 22,804
Filed under: , ,
TIPS-解決WebClient存取https網站時SSL憑證不符問題
申請正式SSL憑證是要花錢的,在測試網站SSL連線或僅作內部應用時,我們常會用 SelfSSL 工具或是 Certificate Service 自己搞一張SSL憑證自嗨一番,反正一樣可以做到傳輸加密的效果。另外,還有一種狀況是網站雖有正式SSL憑證,但註冊的是外部DNS名稱,在內網必須用IP存取網站,此時也會出現URL與SSL註冊對象不同的情形。 當上述情境中,DIY憑證或外部用憑證會被瀏覽器識破,彈出警告訊息: 在瀏覽器上可以選擇無視憑證不符的瑕疵,繼續使用。但若問題發生在 WebClient...
Posted 06 May 2010 09:42 PMJeffrey | 1 comment(s) 25,191
Filed under: ,
小測微軟SQL Injection漏洞掃瞄工具
微軟日前推出了可以掃瞄ASP原始碼是否有 SQL Injection 漏洞的 工具 ,我的第一個念頭是,They really did it? 在我的認知裡,原始碼分析工具最有挑戰性的部分在於要能順著程式的邏輯跑,而不單只從字面上查,例如: Request("id")被指定成變數id,傳給函數GetInfo(id),函數中再呼叫RunGetInfoSel(id),使用者輸入的參數經過三手才被拿來組SQL指令字串(危險,勿學),除非分析工具一路追進函數中,才能解析出這裡隱含了SQL...
Posted 01 August 2008 07:09 AMJeffrey | 1 comment(s) 17,000
Filed under: ,
TIPS-小心Eval潛藏XSS漏洞
.NET 3.5裡多了些新玩意,看過保哥的 超完美組合:LinqDataSource + ListView + DataPager + jQuery 及Rick Strahl的 ListView and DataPager in ASP.NET 3.5 兩篇介紹ListView的文章,ListView對前端有極佳主控權的特色深得我心,我打算逐步在未來的專案中用ListView取代DataGrid或GridView。 不過我有注意到大部分文章在介紹Templated Control時都省略了資安風險的提醒...
Posted 19 June 2008 08:02 AMJeffrey | 2 comment(s) 14,286
Filed under: ,
游擊式的SQL Injection攻擊
最近處理了一個棘手的SQL Injection案例,又增長了一些見聞 (如果你身為網站設計人員卻不知道什麼是SQL Injection,建議你最好立即請假佯裝出國度假或雙手打上石膏裝殘,無論如何,在搞懂什麼是SQL Injection之前,務必暫停手邊的開發工作,以免在系統埋下更多的炸彈,遺害千年! 我有幾篇文章可以參考: ASP.NET防駭指南 、 你的網站在裸奔嗎? ) 這次遇到的狀況是發現網站上一些內容顯示有誤,似乎是HTML格式不對。仔細確認,發現資料庫中的所有varchar, nvarchar欄位資料後方都被加上了<...
Posted 22 May 2008 07:38 AMJeffrey | 26 comment(s) 77,824
Filed under: ,
KB-About Event Validation of ASP.NET 2.0
不知你有沒有遇過以下的錯誤? Invalid postback or callback argument. Event validation is enabled using <pages enableEventValidation="true"/> in configuration or <%@ Page EnableEventValidation="true" %> in a page. For security purposes...
Posted 13 May 2008 09:46 AMJeffrey | 8 comment(s) 30,569
Filed under: , ,
更多文章 下一頁 »

搜尋

Go

<March 2017>
SunMonTueWedThuFriSat
2627281234
567891011
12131415161718
19202122232425
2627282930311
2345678
 
RSS
創用 CC 授權條款
【廣告】
twMVC
最新回應

Tags 分類檢視
關於作者

一個醉心技術又酷愛分享的Coding魔人,十年的IT職場生涯,寫過系統、管過專案, 也帶過團隊,最後還是無怨無悔地選擇了技術鑽研這條路,近年來則以做一個"有為的中年人"自許。

文章典藏
其他功能

這個部落格


Syndication