不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/2017/10/25/owasp-top-10-asp-net-core-cross-site-scripting-xss/ 在这篇文章的前几次迭代中,我用了一个很长的篇幅解释了什么是跨站脚本(XSS).但在花了好几个小时来完善它之后,我觉得向你展示一个简单的屏幕截图就更容易了. 这例子很简单.我有一个用…
不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/2017/10/11/owasp-top-10-asp-net-core-sql-injection/ OWASP或者说是开放Web应用程序安全项目,这是一个非营利性的组织,其目的是促进安全的web应用程序的开发和设计.当他们在世界各地举办不同的研讨会和活动时,你可能听说过他们,因为"OWASP Top…
不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/2017/10/16/owasp-top-10-asp-net-core-broken-authentication-session-management/ 在我们之前关于OWASP Top 10的文章中,我们讨论了SQL注入.SQL注入有一个非常明确的解释和例子,但这次我们讲的个关于"失效的访问控制和S…
先来看几个出现安全问题的例子 OWASP TOP10 开发为什么要知道OWASP TOP10 TOP1-注入 TOP1-注入的示例 TOP1-注入的防范 TOP1-使用ESAPI(https://github.com/ESAPI/esapi-java-legacy) TOP2-失效的身份认证和会话管理 TOP2-举例 TOP3-跨站 TOP3-防范 TOP3-复杂的 HTML 代码提交,如何处理? TOP4-不安全的对象直接引用 TOP4-防范 TOP5-伪造跨站请求(CSRF) TOP5-案例…
最近项目中需要用到后台Job,原有在Windows中我们会使用命令行程序结合计划任务或者直接生成Windows Service,现在.Net Core跨平台了,虽然Linux下也有计划任务,但跟原有方式一样,没撒图形界面,执行结果之类的只能去服务器查看日志. 看了下Hangfire,基本满足于现有需求,有图形UI,注册后台Job也非常简便,考虑之下,就是用它了. 安装注册 Hangfire的使用也非常简单,在项目中先安装Hangfire包: PM> Install-Package Hangfir…
  OWASP--开放式web应用程序安全项目 参考文献:袁鸣凯.OWASP Top 10十大风险 – 10个最重大的Web应用风险与攻防.2016-9-18. https://blog.csdn.net/lifetragedy/article/details/52573897 Open Web Application Security Project (1)--A1 -- 注入 包括但不限于sql注入.cookie注入.xxe注入等,此类为开发者忽略了客户端对数据库的恶意代码拼接读取造成的危害…
本文介绍如何在 ASP.NET Core 的应用程序中启用 CORS. 浏览器安全可以防止网页向其他域发送请求,而不是为网页提供服务. 此限制称为相同源策略. 同一源策略可防止恶意站点读取另一个站点中的敏感数据. 有时,你可能想要允许其他站点对你的应用进行跨域请求. 有关详细信息,请参阅MOZILLA CORS 一文. 跨源资源共享(CORS): 是一种 W3C 标准,可让服务器放宽相同的源策略. 不是一项安全功能,CORS 放宽 security. API 不能通过允许 CORS 来更安全. …
内容安全策略(CSP)是一个增加的安全层,可帮助检测和缓解某些类型的攻击,包括跨站点脚本(XSS)和数据注入攻击.这些攻击用于从数据窃取到站点破坏或恶意软件分发的所有内容(深入CSP) 简而言之,CSP是网页控制允许加载哪些资源的一种方式.例如,页面可以显式声明允许从中加载JavaScript,CSS和图像资源.这有助于防止跨站点脚本(XSS)攻击等问题. 它也可用于限制协议,例如限制通过HTTPS加载的内容.CSP通过 Content-Security-Policy HTTP响应中的标头实现.…
OWASP(开放Web软体安全项目- Open Web Application Security Project)是一个开放社群.非营利性组织,目前全球有130个分会近万名会员,其主要目标是研议协助解决Web软体安全之标准.工具与技术文件,长 期 致力于协助政府或企业了解并改善网页应用程式与网页服务的安全性. 下表左边是2010年的排名,下表右边是2013年的排名,可以看出改变的地方有: 2010 年的Insecure Cryptographic Storage(不安全加密存储)和Insuffi…
1.环境变量配置 ASP.NET Core在应用程序启动时读取环境变量(Properties\launchSettings.json)ASPNETCORE_ENVIRONMENT,并将该值存储在IHostingEnvironment.EnvironmentName中.ASPNETCORE_ENVIRONMENT可设置为任意值,但框架只支持三个值:Development(开发).Staging (分阶段)和 Production(生产).如果未设置ASPNETCORE_ENVIRONMENT,则默…