如果这是错误的类别,请道歉。我目前正在开发和应用ASP,由于我对ASP的经验不足我担心用户可以利用的漏洞。
我的应用程序是从头开始编码,没有使用模板或默认来自Visual Studio,完全是空白项目。用户会看到一个登录页面,其中取决于活动目录中的用户访问权限取决于用户可以访问的页面。
我担心的漏洞是用户是否能够提交目录遍历并访问不允许他们访问和更改关键信息的页面。
我担心我缺乏经验已经赶上了我。有人可以向我解释我如何限制对用户的访问权限,或者,如果我过度思考这个过程,请纠正我?建设性的批评被接受了。
答案 0 :(得分:0)
Microsoft确实尝试通过默认设置帮助保护您的应用程序,因此如果您在IIS中运行,请确保运行应用程序池的用户只能对其需要写入的文件夹具有写入权限。
这是一个非常开放的问题,取决于许多因素,如.net版本,服务器操作系统/ IIS版本,安装的其他处理程序等。但一个好的开始是审查OWASP Top 10: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#OWASP_Top_10_for_2013
以下列出了一些可用于测试实施的自动化工具: https://geekflare.com/online-scan-website-security-vulnerabilities/