网站安全通用防护代码(C#版本源码提供)
每一个开发者都会意识到,网站发布之前,需要进行安全检查。
那么如何拦截攻击者注入恶意代码?如何防御诸如跨站脚本攻击(XSS)、SQL注入攻击等恶意攻击行为?
针对目前常见的一些安全问题,结合目前一些常见的防护办法,通用权限管理系统底层增加了安全防护代码,
现将源码提供如下
namespace DotNet.Utilities
{
/// <summary>
/// 网站安全通用防护
///
/// 主要功能:
/// 拦截攻击者注入恶意代码,可以防御诸如跨站脚本攻击(XSS)、SQL注入攻击等恶意攻击行为。
///
/// 修改纪录
///
/// 2013-12-27,更新正则表达式避免误报问题。
/// 2013-01-08,更新了aspx防护脚本中referer变量冲突问题。
/// 2013-01-09,加入了UTF7编码XSS的防护。
/// 2013-01-28,增强了对XSS的防护。
/// 2013-01-31,针对某些用户后台上传文件出错的问题。
/// 2013-03-15,增强了对POST的防护。
/// 2013-03-28,增强了对XSS的防护。
/// 2013-04-25,对XSS防护加入了通用的防护方法。
/// 2013-08-02,加入对XSS编码绕过的防护。
/// 2013-08-14,增强利用样式的XSS防护。
/// 2014-11-12,解决SQL盲注不拦截的问题。
///
/// 2014-11-12 版本:1.0 SongBiao 创建文件。
///
/// <author>
/// <name>SongBiao</name>
/// <date>2014-11-12</date>
/// </author>
/// </summary>
public partial class SecretUtil
{
//正则过滤字符
private const string StrRegex = @"<[^>]+?style=[\w]+?:expression\(|\b(alert|confirm|prompt)\b|^\+/v(8|9)|<[^>]*?=[^>]*?&#[^>]*?>|\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|/\*.+?\*/|<\s*script\b|<\s*img\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";
/// <summary>
/// POST请求
/// </summary>
/// <param name="putData">输出非法字符串</param>
/// <returns></returns>
public static bool PostData(out string putData)
{
bool result = false;
putData = string.Empty;
for (int i = ; i < HttpContext.Current.Request.Form.Count; i++)
{
result = CheckData(HttpContext.Current.Request.Form[i].ToString(), out putData);
if (result)
{
putData = HttpContext.Current.Request.Form[i].ToString();
break;
}
}
return result;
}
/// <summary>
/// GET请求
/// </summary>
/// <param name="putData">输出非法字符串</param>
/// <returns></returns>
public static bool GetData(out string putData)
{
bool result = false;
putData = string.Empty;
for (int i = ; i < HttpContext.Current.Request.QueryString.Count; i++)
{
result = CheckData(HttpContext.Current.Request.QueryString[i].ToString(), out putData);
if (result)
{
putData = HttpContext.Current.Request.QueryString[i].ToString();
break;
}
}
return result;
} /// <summary>
/// COOKIE
/// </summary>
/// <param name="putData">输出非法字符串</param>
/// <returns></returns>
public static bool CookieData(out string putData)
{
bool result = false;
putData = string.Empty;
for (int i = ; i < HttpContext.Current.Request.Cookies.Count; i++)
{
result = CheckData(HttpContext.Current.Request.Cookies[i].Value.ToLower(), out putData);
if (result)
{
putData = HttpContext.Current.Request.Cookies[i].Value.ToLower();
break;
}
}
return result; }
/// <summary>
/// UrlReferrer请求来源
/// </summary>
/// <param name="putData">输出非法字符串</param>
/// <returns></returns>
public static bool Referer(out string putData)
{
bool result = false;
result = CheckData(HttpContext.Current.Request.UrlReferrer.ToString(), out putData);
if (result)
{
putData = HttpContext.Current.Request.UrlReferrer.ToString();
}
return result;
}
/// <summary>
/// 正则检查
/// </summary>
/// <param name="inputData">字符串</param>
/// <param name="putData">输出非法字符串</param>
/// <returns></returns>
public static bool CheckData(string inputData, out string putData)
{
putData = string.Empty;
//if (Regex.IsMatch(inputData.ToUpper(), StrRegex.ToUpper(),RegexOptions.IgnoreCase))
if (Regex.IsMatch(inputData, StrRegex, RegexOptions.IgnoreCase))
{
putData = inputData;
return true;
}
else
{
return false;
}
}
} }
源码在通用权限底层中的位置:
调用方法:(ASP.NET MVC参考)在Global.asax文件中增加以下方法
/// <summary>
/// 在此处进行安全检测和防范
/// Application_BeginRequest
/// </summary>
/// <param name="sender"></param>
/// <param name="e"></param>
protected void Application_AcquireRequestState(object sender, EventArgs e)
{
HttpContext context = HttpContext.Current;
string putData = string.Empty;
if (Request.Cookies != null)
{
if (SecretUtil.CookieData(out putData))
{
ResponseWarnMessage(context, "Cookie数据有恶意字符!", putData);
}
}
if (Request.UrlReferrer != null)
{
if (SecretUtil.Referer(out putData))
{
ResponseWarnMessage(context, "Referrer数据有恶意字符!", putData);
}
}
if (Request.RequestType.ToUpper() == "POST")
{
if (SecretUtil.PostData(out putData))
{
ResponseWarnMessage(context, "Post数据有恶意字符!", putData);
}
}
if (Request.RequestType.ToUpper() == "GET")
{
if (SecretUtil.GetData(out putData))
{
ResponseWarnMessage(context, "Get数据有恶意字符!", putData);
}
}
}
/// <summary>
/// 非安全行为 输出警告信息
/// </summary>
/// <param name="errorMessage"></param>
/// <param name="putData"></param>
private void ResponseWarnMessage(HttpContext context, string errorMessage, string putData)
{
//记录一下恶意攻击行为
string ipAddress = Utilities.GetIPAddress(true);
BaseUserInfo userInfo = context.Session[DotNet.Business.Utilities.SessionName] as BaseUserInfo;
//非安全行为同时记录到数据库和文本文件中
LogHelper.OracleWarn(userInfo, "恶意访问行为", "来自IP:" + ipAddress + "的访问存在恶意行为:" + errorMessage + "字符内容:" + putData, " private void ResponseErrorMessage(string errorMessage, string putData)", typeof(MvcApplication), null);
RouteData routeData = new RouteData();
routeData.Values.Add("controller", "Error");
routeData.Values.Add("action", "General");
routeData.Values.Add("title", "非法访问与请求提醒");
routeData.Values.Add("error", "你提交的" + errorMessage + "字符内容:" + putData);
IController errorController = new ErrorController();
errorController.Execute(new RequestContext(new HttpContextWrapper(Context), routeData));
context.Response.End();
}
上面的处理方法可根据需要自己调整,我是将攻击信息使用系统的日志功能记录到Oracle数据库中,并在页面显示攻击信息,
测试:在地址后加入"?action=delete from user"
以上安全代码也可单独放到你的程序中使用,建议尚未做安全防护的朋友尽快加上,避免受到一些常见的攻击行为骚扰。
网站安全通用防护代码(C#版本源码提供)的更多相关文章
- spring各个版本源码
各版本源码下载地址 http://maven.springframework.org/release/org/springframework/spring/
- Spring各版本源码下载
spring framework 各版本源码下载地址 现在spring的源码下载地址真是不好找,这次终于找到了.记录一下,以帮助需要的朋友. https://github.com/spring-pro ...
- [转帖]nginx1.17.2版本源码安装
nginx1.17.2版本源码安装 原创: 沧海书生 Ansible爱好者 昨天 公众号里面的内容 这里简单测试了下 在x86的虚拟机里面编译安装 nginx 仅make make install n ...
- Kafka 0.10.1版本源码 Idea编译
Kafka 0.10.1版本源码 Idea编译 1.环境准备 Jdk 1.8 Scala 2.11.12:下载scala-2.11.12.msi并配置环境变量 Gradle 5.6.4: 下载Grad ...
- Goldeneye.py网站压力测试工具2.1版源码
Goldeneye压力测试工具的源代码,粗略看了下,代码写的蛮规范和易读的,打算边读边加上了中文注释,但是想来也没太大必要,代码600多行,值得学习的地方还是蛮多的,喜欢Python的同学可以一读 这 ...
- 《k8s-1.13版本源码分析》- Informer 机制
源码分析系列文章已经开源到github,地址如下: github:https://github.com/farmer-hutao/k8s-source-code-analysis gitbook:ht ...
- 《k8s-1.13版本源码分析》-调度优选
源码分析系列文章已经开源到github,地址如下: github:https://github.com/farmer-hutao/k8s-source-code-analysis gitbook:ht ...
- jquery的2.0.3版本源码系列(6):2880-3042行,回调对象,对函数的统一管理
目录 1 . 回调对象callbacks的演示 回调的使用有一点像事件绑定,先绑定好,等到有点击事件或者其他时就触发. <script src="js/jquery-2.0.3.js& ...
- jquery的2.0.3版本源码系列(4):285-348行,extend方法详解
目录 1 . jquery extend的基本使用 通过285行的源码 jQuery.extend = jQuery.fn.extend = function() { ,extend方法要么是直接挂在 ...
随机推荐
- hadoop2.7【单节点】单机、伪分布、分布式安装指导
问题导读 1.从本文部署实际部署,总结本地模式.伪分布.分布式的区别是什么?2.单机是否是伪分布?3.本地模式是否可以运行mapreduce? 来源:about云 http://www.aboutyu ...
- boost::bind 和 boost::function 基本用法
这是一篇介绍bind和function用法的文章,起因是近来读陈硕的文章,提到用bind和function替代继承,于是就熟悉了下bind和function的用法,都是一些网上都有的知识,记录一下,期 ...
- Linux下MongoDB备份脚本
#!/bin/bash today=`date +%Y%m%d` mongodump -h localhost -d salary -o /home/chzhao/mongobackup/$today ...
- 在C++中定义常量的两种方法的比较
常量是定以后,在程序运行中不能被改变的标识符.C++中定义常量可以用#define .const 这两种方法.例如:#define PRICE 10 //定义单价常量10const int PRICE ...
- wordpress后台打开慢/卡顿的解决方法
---------------------2014年12月29日更新--------------------- 我已经用下面提到的第三种方法禁用了谷歌字体了,最近wordpress后台还是莫名奇妙地非 ...
- linux中vi编辑器
vi编辑器,通常称之为vi,是一种广泛存在于各种UNIX和Linux系 统中的文本编辑程序.它的功能十分强大,但是命令繁多,不容易掌握,它可以执行输出.删除.查找.替换.块操作等众多文本操作,而且用户 ...
- 用ALAssetsLibrary将过滤后图片写入照片库
转载自:http://blog.sina.com.cn/s/blog_61235faa0100z3dp.html CIImage *saveToSave = [filter outputImage]; ...
- Node.js:实现知乎(www.zhihu.com)模拟登陆,获取用户关注主题
前一段时间,在瞎看看 Node.js,便研究通过 Node.js 实现知乎模拟登陆.相信,有很多网站有登陆权限设置,如若用户未登陆,将会跳转至首页提醒用户登陆,无法浏览部分页面. 如若是 b/s 架构 ...
- java web,生成验证码图片的技术
偶然知道原来有些网站的验证码图片都是随机生成的,后来听人讲了一下,就做了这个小例子 生成图片,绘制背景,数字,干扰线用到了java.awt包,主要使用BufferedImage来生成图片,然后使用Gr ...
- Hadoop on Mac with IntelliJ IDEA - 4 制作jar包
本文讲述使用IntelliJ IDEA打包Project的过程,即,打jar包. 环境:Mac OS X 10.9.5, IntelliJ IDEA 13.1.4, Hadoop 1.2.1 Hado ...