网站安全防御攻击

一、CSRF攻击

1.简介

CSRF俗称钓鱼网站，通过假链接方式让用户在钓鱼网站登陆获取Cookie信息，盗取用户信息或钱财。

2.解决方式

通过判断Refecr

Requese.UrlRefecr

在请求地址中添加token并验证

保护Cookie

Response.Cookie["MyCookie"].HttpOnly

二、XSS攻击

1.简介

XSS攻击：跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(css)的缩写混淆。故将跨站脚本攻击缩写为XSS通常是用Js脚本攻击，采用js代码盗取用户信息，例：在输入框加个表单提交盗取用户的个人资料

2.解决方式

ASP.NET中MVC已经自带有安全处理，如果带有html标签的字段值传进后台，会报异常。但是如果我们想让这个字段值带有html标签，可在字段上加个属性[AllwoHtml]

三、DOC攻击

1.简介

DOS攻击是Denial of Service的简称，即拒绝服务又称暴力请求，其目的是使计算机或网络无法提供正常的服务。最常见的DOS攻击有计算机网络宽带攻击和连通性攻击。攻击分为几种：第一种是攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽资源；第二种是攻击服务器硬盘，无限发送请求超出硬盘大小。

2.解决方案

限制请求数和封IP

四、传输层未做保护

1.简介

登陆系统的post请求中将loginName,passWord等信息都是明文传输

2.解决方案

使用HTPPS(需要付费)

使用安全证书

五、暴力破解密码

1.简介

暴力破解是无限输入账号密码进行登陆，密码强度差容易给破解

2.解决方案

加入三次输入错误的逻辑判断处理代码

数据加密且是不可逆

MD5加密

身份验证

Form认证

Membership与FormsAuthentication

WCF 

六、CAS权限

目前没有控制代码访问安全

使用具体权限类实现标准的方法：

FileIOPermission iop= new FileIOPermission(FileIPPermissionAccess.Read,"xx.txt");

try{

      iop.Demand();

} 

catch(SecurityException ex){

   //处理异常

}

[FileIOPermission(SecurityAction.Demand,Read="xx.txt")]