准备ASP.Net网站进行渗透测试

我认为核对清单随着时间的推移而变化,其理论与经验一起变化.我总是检查我的日志文件,看看他们试图渗透我网站的新方法 – 比如扫描“不存在的”文件,或尝试运行随机查询.

一个很好的页面,有很多关于渗透的文章：
http://www.cgisecurity.com/pentest.html

尝试渗透到我的网站的一些方法.

最常见的

> sql injections,所以我检查并阻止在url行上使用“select”命令调用我的站点的用户.我还检查了其他sql命令.
>忘记了javascript filebrowser我最近看到他们搜索的链接如下：wwwmysite.com/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/tinybrowser.php?type=fileu0026amp;folder=

为了找到它们,我监视“找不到页面”事件.当然,如果找到页面,那么它们会渗透.如何更有可能看到失败的尝试并看到他们正在寻找什么.

Oracle攻击

这些天我也看到了很多甲骨文攻击.我发现它们并使用此代码阻止攻击者的完整IP：CryptographicException: Padding is invalid and cannot be removed and Validation of viewstate MAC failed

偷饼干

我也按照这个问题的答案：Can some hacker steal the cookie from a user and login with that name on a web site?
要点：始终在登录cookie上使用ssl加密(requireSSL = true),而不是在cookie上放置角色(cacheRolesInCookies = false).

先进的阻止

我还阻止系统/程序/ iis内部列出黑名单的ips,但过去我使用过PeerGuardian.在那里你可以找到许多可以阻止高级的坏IP列表.关于这些糟糕的ips,我唯一的注意事项是我永远不会阻止它们,但仅仅持续了几天.坏ips块也帮我收集了数百封垃圾邮件.
http://phoenixlabs.org/pg2/

调查日志

我认为人们可以通过多种方式思考并尝试渗透到您的网站上.重点是如何预测它们并在发生之前记录它们,并始终采用更好的机制来避免它们.正如我所说,我监视未找到的页面,以及页面抛出的内部错误.这两种方法向我展示了很多渗透尝试.

上传脚本.

如果您可以访问上传文件,图像和其他内容,请确保它们无法在上传目录中运行.这可以通过双重检查文件的扩展名来完成,也可以通过从服务器本身禁用该目录上的程序和脚本的运行来完成,也可以通过在上传目录中放置web.config来实现：

<configuration>
    <system.web>
      <authorization>
        <deny users="*" />
      </authorization>
    </system.web>
</configuration>

阅读一个案例：
I’ve been hacked. Evil aspx file uploaded called AspxSpy. They’re still trying. Help me trap them?