ASP.NET Misconfiguration: Request Validation Disabled

转载 于 2016-12-20 16:06:00 发布 · 299 阅读 · 0

本文介绍如何使用ASP.NET验证框架防止因未检查输入而导致的安全漏洞,包括跨站脚本攻击、进程控制及SQL注入等。通过具体示例展示了如何确保电话号码字段只包含有效字符、布尔值仅接受T或F以及自由格式字符串长度合理等内容。

Abstract:

Use the ASP.NET validation framework to prevent vulnerabilities that result from unchecked input.

Explanation:

Unchecked input is the leading cause of vulnerabilities in ASP.NET applications. Unchecked input leads to cross-site scripting,

process control, and SQL injection vulnerabilities, among others.

To prevent such attacks, use the ASP.NET validation framework to check all program input before it is processed by the

application.

Example uses of the validation framework include checking to ensure that:

- Phone number fields contain only valid characters in phone numbers

- Boolean values are only "T" or "F"

- Free-form strings are of a reasonable length and composition

Recommendations:

Although validation is on by default, you should make this explicit to prevent confusion by enabling the validation framework in

your Web.config file. An example of a typical setup is:

<configuration>

<system.web>

<pages validateRequest="true" />

</system.web>

</configuration>

Fortify SCA 简介
HDHYCP的博客
08-02 1001
源代码测评工具
取消ASP.NET中的请求验证(Disabling Request Validation)部分转载Entlib.Net
u012248225的专栏
12-11 1066
ASP.NET Application 开发过程中,在web page 页面的文本框输入 HTML 代码时,会出现如下异常信息:        从客户端(txtProductName=”……..        说明: ASP.NET 在请求中检测到包含潜在危险的数据,因为它可能包括 HTML 标记或脚本。该数据可能表示存在危及应用程序安全的尝试,如跨站点脚本攻击。如果此类型的输
Request Validation in ASP.NET
weixin_30920091的博客
10-22 157
Request Validation in ASP.NET http://msdn.microsoft.com/en-us/library/hh882339%28v=vs.100%29.aspx Request Validation in ASP.NET System.Web.Helpers ...
ASP.NET Misconfiguration: Debug Information
weixin_34410662的博客
12-20 202
Abstract: Debugging messages help attackers learn about the system and plan a form of attack. Explanation: ASP .NET applications can be configured to produce debug binaries. These binaries give det...
ASP.NET MVC以ModelValidator为核心的Model验证体系: ModelValidatorProviders
weixin_34278190的博客
06-03 124
前面篇文章我们分别介绍用真正用于实施Model验证的ModelValidator(《ASP.NET MVC以ModelValidator为核心的Model验证体系: ModelValidator》),以及用于提供ModelValidator的ModelValidatorProvider(《ASP.NET MVC以ModelValidator为核心的Model验证体系: ModelValidat...
System.Web.HttpRequestValidationException解决方法
zhendongzd
04-20 3087
从客户端(TextBox1="")中检测到有潜在危险的 Request.Form 值。 说明: 请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。该值可能指示存在危及应用程序安全的尝试,如跨站点脚本攻击。若要允许页面重写应用程序请求验证设置,请将 httpRuntime 配置节中的 requestValidationMode 特性设置为 requestValidationM
Fortify SCA
tooby的专栏
10-15 1445
 Fortify SCA简介   Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息,还会有相关的安全知识的说明,以及修复意...
OWASP Top 10 – 2013, 最新十大安全隐患(ASP.NET解决方法)
weixin_33836874的博客
04-01 415
OWASP(开放Web软体安全项目- Open Web Application Security Project)是一个开放社群、非营利性组织,目前全球有130个分会近万名会员,其主要目标是研议协助解决Web软体安全之标准、工具与技术文件,长期 致力于协助政府或企业了解并改善网页应用程式与网页服务的安全性。   下表左边是2010年的排名,下表右边是2013年的排名,可以看出改变的地方有: ...
转:关于ASP.NET中Cookies和Session 的疑问(Cookies禁用)
weixin_33712987的博客
06-12 152
问:  一个关于怎么判定客户端COOKIES是否被禁用本来的意思是COOKIES禁用,然后我用SESSION存储数据。但后来一想,SESSIONID也是存储在COOKIES里边的。所以COOKIES一禁用,SESSION也就不能用了。后来网上找了一下。  ASP.NET中客户端Session状态的存储在我们上面的Session模型简介中,大家可以发现Session状态应该存储在两个地方,分别是...
System.Web.HttpRequestValidationException: 从客户端(XML="<?xml version=\"1.0\...")中检测到
路漫漫 修远兮
11-11 2万+
调试webservices时的报的错误: 测试数据如下: test123TCM301220171203001762017-11-10 16:27:43333555566677771134567普通数据诸如"abcsd",1112233之类的都能通过. 包含 System.Web.HttpRequestValidationException: 从客户端(XML="&l
从客户端(&)中检测到有潜在危险的 Request.Path 值解决方案
热门推荐
05-10 11万+
出这个问题基本上是在转址字符串中有非法字符“   方案1:   如果仅仅只是转换页面,传参时出现的问题,可对数据加密: 绑定数据传值时加密 解密:HttpUtility.UrlDecode(request.QueryString["userid"].Tostrin   方案2:   如果是对数据库数据进行操作时出现此问题,第一、可以在存入数据库中之前加入字符过滤功能(具体实现方
python-3.13.11-amd64.exe
最新发布
12-16
python-3.13.11-amd64.exe
高等院校如何评估专利二次开发的实际市场容量?.docx
12-16
高等院校如何评估专利二次开发的实际市场容量?
高校如何通过智能体自动生成技术交易合同?.docx
12-16
高校如何通过智能体自动生成技术交易合同?
高等院校如何建立科研人员驻企服务的成果转化图谱?.docx
12-16
高等院校如何建立科研人员驻企服务的成果转化图谱?
【PMSG风力涡轮机建模】基于直驱永磁同步发电机(PMSG)的1.5MW风力发电机的详细建模(Simulink仿真实现)
12-16
【PMSG风力涡轮机建模】基于直驱永磁同步发电机(PMSG)的1.5MW风力发电机的详细建模(Simulink仿真实现)
高校如何通过智能体5分钟生成技术路线图?.docx
12-16
高校如何通过智能体5分钟生成技术路线图?
高校如何设置校企联合实验室的联合署名规则?.docx
12-16
高校如何设置校企联合实验室的联合署名规则?
kuberlet服务启动报错:"Failed to run kubelet" err="failed to run Kubelet: misconfiguration: kubelet cgroup
05-31
- `Failed to run Kubelet: misconfiguration: kubelet cgroup driver: "cgroupfs" is different from docker cgroup driver: "systemd"`[^3] - `Failed to run Kubelet: misconfiguration: kubelet cgroup driver: ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值