ASP.NET 防駭指南
 |  | 3 |  |  |
ASP.NET的淺顯易學,讓許多初學者靠著翻書自修就打造起自己的網站王國。可是,有些書上沒教的事,卻可能讓你的網站變成駭客的後院,在ASP.NET防駭指南裡,我們就來看看這些常被忽視的網頁安全漏洞。
** 本文發表於RUN!PC雜誌155期 **
| | | 3 | | |
ASP.NET的淺顯易學,讓許多初學者靠著翻書自修就打造起自己的網站王國。可是,有些書上沒教的事,卻可能讓你的網站變成駭客的後院,在ASP.NET防駭指南裡,我們就來看看這些常被忽視的網頁安全漏洞。
** 本文發表於RUN!PC雜誌155期 **
Comments
# by 小黑
真是大作,看來先必須手腳綁起來一陣子了!
# by 金水
請問黑大,文中有提及打造一個加解密的共用元件,其中「通關密語」(MyKey)是 hard code 在程式裡?還是只是為了示範? 再者,又該如何防堵 通關密語被取得?
# by Jeffrey
to 金水,該範例是用來驗證加密後再解密可還原原內容,屬示範用途。實務上要保護通關密語(金鑰)有幾種做法: 1) 保存在別處(例如Registry),即使文件及程式外流,若對方無權限存取Registry取得金鑰,加密仍具保護效果。若文件要寄給對方解密,記得金鑰不要寫在同一封信裡,可以透過電話或是其他方式傳遞。 2) 將金鑰存入config,使用ASP.NET內建的RSA加密功能加密保護。(參考: http://blog.darkthread.net/post-2010-08-29-web-config-connstr-encryptor-v09-cht.aspx) 3) 自訂保密機制保護金鑰。