C# 安全帮助类

最新推荐文章于 2024-06-10 16:45:00 发布
原创 最新推荐文章于 2024-06-10 16:45:00 发布 · 436 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#.net

本文介绍了一个用于检查HTTP请求中潜在危险字符的安全类实现。该类通过正则表达式匹配恶意输入,如SQL注入、XSS攻击等,并记录非法提交尝试。

   /// <summary>
   /// 安全类
   /// </summary>
    public class SafeCommon
    {
        private static string StrRegex = @"<[^>]+?style=[\w]+?:expression\(|\b(alert|confirm|prompt|onmouseover|onmouseout)\b|^\+/v(8|9)|<[^>]*?=[^>]*?&#[^>]*?>|\b(and|or)\b.{1,6}?(=|%|&|>|<|\bin\b|\blike\b)|/\*.+?\*/|<\s*script\b|<\s*img\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";

        private static bool CheckData(string inputData)
        {
            if (Regex.IsMatch(inputData.ToLower(), StrRegex))
            {
                return true;
            }
            else
            {
                return false;
            }
        }


        #region 检查危险字符

        /// <summary>
        /// 检查危险字符
        /// </summary>
        /// <param name="sInput"></param>
        /// <returns></returns>
        public static bool IsSafeString(Microsoft.AspNetCore.Http.HttpContext context,string sInput)
        {
            bool b = CheckData(sInput);
            if (b)
            {
                
                string url = context.Request.Scheme + "://" + context.Request.Host + context.Request.PathBase + context.Request.Path + context.Request.QueryString;
                string ip = context.Request.HttpContext.Connection.RemoteIpAddress+":"+context.Request.HttpContext.Connection.RemotePort;
                string type = context.Request.Method;
                string postParam = "";
                if (context.Request.Method.ToLower().Equals("post"))
                {
                    foreach (var key in context.Request.Form.Keys.ToList())
                    {
                        postParam = postParam + "{\"key\":\""+key+"\",\"value\":\""+ context.Request.Form["key"] + "\"},";
                    }
                    postParam = postParam.Trim(',');
                    postParam = "[" + postParam + "]";
                }
                string msg = string.Format("\r\n 请勿非法提交,提交数据中有非法字符!\r\n 攻击时间是:{0}\r\n 被攻击URL是:{1}\r\n 攻击者的IP是:{2}\r\n 请求方式是{3}\r\n POST参数是{4}\r\n", System.DateTime.Now.ToString(), url, ip,type,postParam);

                string path = string.Format("{0}/log/safe", AppContext.BaseDirectory);
                string fileName =path+"/"+System.DateTime.Now.ToString("yyyy-MM-dd") + ".txt";
                DirFile.DirFileSheep.CreateDirectory(path);
                DirFile.DirFileSheep.CreateFile(fileName);
                DirFile.DirFileSheep.AppendText(fileName, msg);
                throw new Exception("请勿非法提交,提交数据中有非法字符!");
            }
            return b;
        }
        #endregion
    }

sql 注入POST Get 请求参数到Body常用正则表达式
andy5520的博客
03-31 1361
sql 注入POST Get 请求参数到Body常用正则表达式
C# 公用帮助
03-27
C#编程中,公用帮助(Public Helper Classes)是一种常见的设计模式,它们提供了一系列静态方法,用于解决各种通用问题,比如数据验证、日期时间处理、字符串操作等。这些通常被设计为不可实例化,以确保它们...
xss
猿人奶爸的博客
07-18 271
using System.Text.RegularExpressions; using System.Web; using System.Web.Mvc; using DonvvTools.Log; namespace Test.Framework.Filters { /// <summary> /// 防止SXX攻击过滤器 /// </summ...
检查字符串中是否包含Sql注入关键字
qq_32109957的博客
12-29 1529
public class SqlInjectHelper { /// <summary> /// /// </summary> private static List<Regex> regices; /// <summary> /// /// </summary> static SqlInjectHelper() { regices = new List.
网站跨站点脚本,Sql注入等攻击的处理
weixin_33958585的博客
04-16 221
从360安全论坛里找到的一段代码,经过整理封装,直接在站点Global.asax文件或写一个HttpModule来拦截恶意请求即可; http://bbs.webscan.360.cn/forum.php?mod=viewthread&amp;tid=711&amp;page=1&amp;extra=#pid1927  using System.Text.RegularExpr...
c#获取http请求访问者的ip
u013595395的博客
07-27 7224
依次获取三种的ip(X-Real-IP、X-Forwarded-For、RemoteIp) 1.X-Real-IP (1)是自定义的http头,由服务器自行在http请求的请求头上添加。 (2)如有多个服务器进行添加,则保留最后一个。 (3)如果我方服务器没有赋值,则此ip不可信。相反,在我方外层服务器覆盖ip数值,则可以认为是请求者的真实ip,就可信。 2.X-Forwarded-For (1)是自定义的http头,由服务器自行在http请求的请求头上添加。 (2)如有多个服务器进行添加,
c#开发帮助.zip
08-05
C#编程中,开发帮助是常见的做法,它们旨在提供通用的功能,简化代码复用,提高开发效率。"c#开发帮助.zip"这个压缩包可能包含了一系列用于C#项目中的实用工具,比如数据访问层(DAL)的公共方法。让我们...
C#工具帮助
01-18
"C#工具帮助"可能包含了一系列静态方法,这些方法专注于解决特定问题,如生成验证码、将汉字转换为拼音以及将小写数字转化为大写。在本文中,我们将详细探讨这些功能及其在实际开发中的应用。 首先,验证码...
C#中ZipHelper 压缩和解压帮助
09-02
C#中ZipHelper压缩和解压帮助详解》 在C#开发中,压缩和解压缩文件是一项常见的任务,特别是在处理大量数据或文件传输时。本文将深入探讨如何使用C#实现一个名为ZipHelper的帮助,该是基于开源库...
超级多的C#辅助大全
02-22
网上有各式各样的帮助,公共,但是比较零碎,经常有人再群里或者各种社交账号上问有没有这个helper,那个helper,于是萌生了收集全部helper的念头,以便日后使用。各式各样的几乎都能找到,所有功能性代码都是独立...
php mvc 防注入,Asp.net MVC 简单实现防 xss攻击,sql注入攻击
weixin_30449673的博客
03-19 350
Asp.net MVC 简单实现防 xss攻击,sql注入攻击新建过滤帮助using System;using System.Web;using System.Text;using System.Text.RegularExpressions;public class safe_360{private const string StrRegex = @"]+?style=[\w]+?:expre...
asp.net 360通用防护代码,防止sql注入与xss跨站漏洞攻击
lisky119的专栏
10-12 5584
这是360提供的一个aspx公用代码,可以防止sql注入漏洞,xss跨站攻击漏洞,如果您的网站被360扫描,出现sql注入或跨站攻击等相关漏洞,没有较好的解决方案,倒是可以采用该方法进下防范。 -----------------使用方法------------------- 1.将App_Code目录拷贝到web根目录 假如已经存在App_Code目录,那直接把App_Code目
Webscan360的防御与绕过
zqsqrlqd的博客
03-31 2072
这两天给360做了一个webscan360的总结,结果补丁还没有出来,就被人公布到了91org上面,既然公开了,那我就做一个总结 首先我们贴上它最新的防御正则 \||\b(alert\(|confirm\(|expression\(|prompt\(|benchmark\s*?\(.*\)|sleep\s*?\(.*\)|load_file\s*?\()|]*?\bon([a-z]{4,}
C#跨站脚本防注入SXX
Xiang_Jie_的博客
05-26 807
//Global.asax里面插入代码 <%@ Application Language="C#" %> <script runat="server"> void Application_Start(object sender, EventArgs e) { //在应用程序启动时运行的代码 } void Application_End(object sender, EventArgs e) { //在应用
.Net网站架构设计(七)网络安全
liming850628的专栏
03-21 1675
.Net网站架构(七)网络安全
selenium自动化测试入门 —— Alert/Confirm/Prompt 弹出窗口处理!
最新发布
qq_48811377的博客
06-10 1580
这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!注意:3种窗口为浏览器自带的窗口,该窗口无法定位到元素,能定位到元素需要使用WebElement操作。有输入框、确认和取消按钮,该弹出窗口无法用页面元素定位,不关闭窗口无法在页面上做其他操作。只有确认按钮,无法通过页面元素定位,不关闭窗口无法在页面上做其他操作。示例3:Prompt 弹窗获取文本、输入内容、确认操作。,不关闭窗口无法在页面上做其他操作。
JavaScript的三种消息框alert,confirm,prompt
web开发自学
07-19 857
1. alert是弹出警告框,在文本里面加入\n就可以换行。 2. confirm弹出确认框,会返回布尔值,通过这个值可以判断点击时确认还是取消。true表示点击了确认,false表示点击了取消。 3. prompt弹出输入框,点击确认返回输入框中的值,点击取消返回null。 下面是详细的例子: &lt;html&gt; &lt;head&gt; &lt;script type="tex...
.net 跨站脚本攻击(XSS)漏洞的解决方案
笨笨鸟吃柠檬的专栏
09-06 8481
1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。一般用来盗取浏览器cookie 2.跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,从而达到恶意攻击者的特殊目的。 危害...
网站安全通用防护代码(用户读写数据库对用户输入或者发送(Post、Get)数据等进行检测过滤等)...
XR1986687846的博客
01-17 747
网站安全通用防护代码(用户读写数据库对用户输入或者发送(Post、Get)数据等进行检测过滤等) 每一个开发者都会意识到,网站发布之前,需要进行安全及系统漏洞检查。 那么如何拦截攻击者注入恶意脚本或代码?如何防御诸如跨站脚本攻击(XSS)、SQL注入攻击等恶意攻击行为? 针对目前常见的一些安全问题,结合目前一些常见的防护办法,可在系...
C# 面向切面编程辅助:实现代码清晰化
在这个上下文中,帮助将用于拦截方法调用,并实现日志记录、安全检查、性能监控等横切关注点。 ### 描述知识说明 描述提到帮助用于构建清晰代码,实现面向切面编程。这意味着帮助能够帮助开发者将代码逻辑和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值