经典ASP中的OWASP

时间:2012-08-16 13:20:55

标签: security asp-classic owasp

我正在尝试将OWASP与一些经典的ASP应用程序一起使用,但是没有找到有关如何执行此操作的详细信息,例如一步一步。

该网站会成为启动点:https://www.owasp.org/index.php/Classic_ASP_Security_Project但有人有视频或分步进行?

真的很感激。

2 个答案:

答案 0 :(得分:7)

经典ASP中没有真正的安全性。

  • 没有身份验证模型,因此每个应用都必须自己做
  • 会话管理较弱,无法轮换 会话标识符或阻止会话劫持。没有 反CSRF支持
  • 没有授权模型,因此每个应用都有 做自己的事。这意味着大多数经典ASP应用程序都有 演示文稿,业务逻辑和数据的访问控制问题 模型层。
  • 输入验证很弱,因为大多数输入验证都是 字符串替换,这是不够的。
  • 只有 server.htmlencode()和urlencode用于输出编码,但没有 其他10个左右的输出上下文的其他方法,所以XSS是 可能
  • 除了使用之外,没有防止SQL注入的方法 存储过程,但如果你做错了,那就充满了风险。
  • 没有使用ActiveX服务器就没有简单的记录方法 用于调用Win32 api以使用Windows事件日志的对象。这是 既不容易也不简单,因为这些设计用于a 本地化资源,而不是像syslog。
  • 安全配置 ASP中的内容极少,反映了其简单而古老的根源。 您可以在代码或global.asa中进行改进 的东西。

努力将ESAPI移植到经典ASP。我认为他们没有完成。您可以通过COM导出使用ESAPI for .NET,但我不一定会在它上面工作。

在此阶段,您应该研究升级到ASP.NET 4.0或更高版本。


感谢
Andrew van der Stock
OWASP开发者指南2013领导者

答案 1 :(得分:0)

您可以使用Microsoft AntiXSS作为.Net库,而不是OWASP。唯一的问题是你无法直接从Classic Asp实例化它。 您必须创建一个.net DLL(从COM可见)并将AntiXSS中的函数包装在其中。

下载:http://www.microsoft.com/en-us/download/details.aspx?id=28589

相关问题
最新问题