我们在这里遇到安全问题,我们真的需要您的帮助和投入。我们有一个带有后端系统的网站,管理员可以登录并更新前端。我们的好朋友试图在我们的登录页面上使用SQL注入攻击后端,并且他们成功并且可以创建具有管理员访问权限的用户。该网站是用C#在ASP.NET中编写的。
我们正在考虑从公共IP中删除登录页面或添加2层保护(IIS ip限制和程序的IP访问列表)。
我们如何在IIS和程序中执行此操作?请帮忙,因为我是所有这些安全事项的新手。
我们在一个由3台服务器组成的网络花园上发布这个网站,因此它们共享xx.xxx.x.x的本地/私有ips
如何在我的代码中实现此功能,以便只访问IP列表或一组IP?
非常感谢,
Simplecode
答案 0 :(得分:3)
再往前走这个兔子洞。
首先,清理输入并使用参数化查询。只需修复您的代码。这是你现在应该做的最重要的事情。
其次,移动登录页面无法解决问题。如果您的站点中有其他页面可以访问,那么我确定您有其他SQL注入问题。见上面的#1。
第三,我敢打赌你会接触到各种其他的东西,比如XSS。稍微了解它们是什么。然后花一些时间重新训练自己以防守方式编码。提示:验证一切。如果您期望一个号码,只接受一个号码。如果您期望短字符串,请不要在其中嵌入javascript。
要记住的一个口号是,只要您完全信任浏览器,用户甚至系统管理员。也就是说,建立您的网站的方式使您根本不必信任它们。
大多数公司都不知道他们面临的威胁是什么。提示:外部威胁或仅是其中的一部分。内部威胁通常要差得多。我之所以这样说,只是因为你问了一个试图粘贴问题的一部分并忽略其他一切的问题。
我最近与一家公司进行了交谈,该公司声称他们有安全保障。在会议之前,我访问了他们的网站并注意到他们在所有网址中都有一个文档ID。 id是一个简单的int。在业余时间的几分钟内,我编写了一个以doc id 1开头的应用程序并进行迭代,直到服务器停止提供数据。我应该永远无法看到相当数量的文件。作为一个好撒玛利亚人,我告诉他们这件事。
这个故事的重点是sql注入,xss等并不是一切。通过默默无闻的安全是完全失败的。