ASPX、.NAT(环境/框架)安全
源自小迪安全b站公开课
1、搭建组合:
- Windows
- IIS
- aspx
- sqlserver
.NAT基于windows
C++开发的框架/环境
对抗Java
xx.dll <=> xx.jar
关键源码封装在dll文件内。
2、.NAT配置调试-信息泄露
功能点:
关闭customError:
泄露版本信息,部分路径
开启customError:
3、.NAT源码反编译-DLL反编译
路径:/bin/xx.dll
工具:ILSpy
分析流程:
aspx文件内容很少,但会调用bin/目录下的dll文件。
4、NAT常见安全问题-未授权访问
- 前台:非法登录会员账号
- 后台:非法登录管理账号
判断用户身份的方法:
- 每个页面(文件)都有判断代码
- 一个文件专门用于判断,其他文件包含(调用)它
找未授权漏洞思路:
- 找哪些文件未包含判断代码文件
- 判断代码文件是否可以绕过
.NAT比较常见,找源码翻翻。