ASP.NET常见安全漏洞及修复方式

Microsoft IIS 版本信息泄露

查看网页返回的 Header 信息,默认会包含 IIS,ASP.NET 版本信息:

隐藏 Server 标头

编辑 web.config 文件,在 system.webServer 节点中配置 requestFiltering 来移除Server标头:

diff 复制代码
<security>
+  <requestFiltering removeServerHeader ="true" />
</security>

隐藏 X-ASPNET-Version 标头

编辑 web.config 文件,在 system.web 节点, 添加以下配置代码:

diff 复制代码
<system.web>
+  <httpRuntime enableVersionHeader="false" />
</system.web>

隐藏 X-Powered-By 标头

编辑 web.config 文件,在 system.webServer.customeHeaders 节点, 添加以下代码:

diff 复制代码
<system.webServer>
  <httpProtocol>
    <customHeaders>
+	    <remove name="X-Powered-By" />
    </customHeaders>
  </httpProtocol>
 </system.webServer>

修改完响应 Header 如下所示:

未加密的__VIEWSTATE参数

编辑 web.config 文件,在 system.web 节点, 添加以下配置代码:

diff 复制代码
	<system.web>
+		<pages enableEventValidation="true" validateRequest="false" viewStateEncryptionMode="Always" enableViewStateMac="true">
  </system.web>

以上配置加密__VIEWSTATE 参数,并启用__EVENTVALIDATION;

HTML FORM 表单没有CSRF防护

通过全局向 注入隐藏域 CSRF 标签,即 , 服务端收到请求时,会验证 CSRFToken 是否正确,不正确则拒绝请求。

添加 App_code/CSRFInjectingFilter.cs

c# 复制代码
using System;
using System.IO;
using System.Text;
using System.Text.RegularExpressions;
using System.Web;

public class CSRFInjectingFilter : Stream
{
    private Stream _responseStream;
    private StringBuilder _buffer = new StringBuilder();
    private string _csrfToken;

    public CSRFInjectingFilter(Stream responseStream, string csrfToken) {
      _responseStream = responseStream;
      _csrfToken = csrfToken;
    }

    public override void Write(byte[] buffer, int offset, int count) {
      string content = Encoding.UTF8.GetString(buffer, offset, count);
      content = InjectToken(content);
      byte[] outData = Encoding.UTF8.GetBytes(content);
      _responseStream.Write(outData, 0, outData.Length);
    }

    private string InjectToken(string html) {
      string hiddenInput = string.Format("<input type='hidden' name='CSRFToken' value='{0}' />", _csrfToken);
	    return Regex.Replace(html, @"<form[^>]*>", match => match.Value + hiddenInput, RegexOptions.IgnoreCase);
    }

    // 其他 Stream 抽象成员实现
    public override bool CanRead { get { return false; } }
    public override bool CanSeek { get { return false; } }
    public override bool CanWrite { get { return true; } }
    public override void Flush() { _responseStream.Flush(); }

	public override long Length {
    get { throw new NotSupportedException(); }
	}

	public override long Position {
    get { throw new NotSupportedException(); }
    set { throw new NotSupportedException(); }
	}

	public override int Read(byte[] buffer, int offset, int count) { throw new NotSupportedException();}
	public override long Seek(long offset, SeekOrigin origin) { throw new NotSupportedException(); }
	public override void SetLength(long value) { throw new NotSupportedException();}

}

添加 App_code/CSRFModule.cs

c# 复制代码
using System;
using System.IO;
using System.Text;
using System.Text.RegularExpressions;
using System.Web;

public class CSRFModule : IHttpModule
{
    public void Init(HttpApplication context) {
        context.AcquireRequestState += OnAcquireRequestState;
        context.PreRequestHandlerExecute += OnPreRequestHandlerExecute;
    }

    private void OnAcquireRequestState(object sender, EventArgs e) {
        var app = (HttpApplication)sender;
        var context = app.Context;
        // 对 POST 请求做校验
        if (context.Request.HttpMethod == "POST" && context.CurrentHandler is System.Web.UI.Page) {
            string tokenFromForm = context.Request.Form["CSRFToken"];
	    	    string tokenFromSession = null;
          if (context.Session != null) {
            tokenFromSession = context.Session["CSRFToken"] as string;
          }

          if (string.IsNullOrEmpty(tokenFromForm) || tokenFromForm != tokenFromSession) {
            context.Response.StatusCode = 403;
            context.Response.Write("CSRF 验证失败");
            context.Response.End();
          }
        }
    }

    private void OnPreRequestHandlerExecute(object sender, EventArgs e)
    {
        var app = (HttpApplication)sender;
        var context = app.Context;

        // 只处理 text/html 类型响应
        if (context.CurrentHandler is System.Web.UI.Page && context.Response.ContentType == "text/html") {
            if (context.Session["CSRFToken"] == null) {
                context.Session["CSRFToken"] = Guid.NewGuid().ToString();
            }
            context.Response.Filter = new CSRFInjectingFilter(context.Response.Filter, context.Session["CSRFToken"].ToString());
        }
    }

    public void Dispose() { }
}

配置 web.config , 添加以下配置

system.web/httpModules 节点中添加 CSRFModule

diff 复制代码
<system.web>
  <httpModules>
+			<add name="CSRFModule" type="CSRFModule" />

在 system.webServer/modules 节点中添加 CSRFModule

diff 复制代码
<system.webServer>
		<modules>
+			<add name="CSRFModule" type="CSRFModule" />

其他

增加 IP 地址黑名单

首先打开"服务器管理器"中,进入"管理",点击"添加角色和功能",在"服务器角色"的 Web服务器/Web服务器/安全性 中找到 "IP和域限制",勾选并安装。

安装成功后,在 IIS 中点击对应的网站,右侧面板中找到 "IP和域限制",

双击进入,右键添加拒绝条目即可。

相关推荐
.生产的驴13 小时前
React 集成Redux数据状态管理 数据共享 全局共享
前端·javascript·react.js·前端框架·css3·html5·safari
IT_陈寒13 小时前
Redis性能优化的7个隐藏技巧:从慢查询到亿级QPS的实战经验分享
前端·人工智能·后端
艾小码13 小时前
ES6+革命:8大特性让你的JavaScript代码质量翻倍
前端·javascript
两个西柚呀13 小时前
Vue组件的一些底层细节
前端·javascript·vue.js
IT技术分享社区13 小时前
前端:浏览器Content Security Policy 安全策略介绍和用法
前端·前端开发
林强18117 小时前
前端文件预览docx、pptx和xlsx
前端
像是套了虚弱散20 小时前
DevEco Studio与Web联合开发:打造鸿蒙混合应用的全景指南
开发语言·前端·华为·harmonyos·鸿蒙
衬衫chenshan20 小时前
【CTF】强网杯2025 Web题目writeup
前端
飞翔的佩奇20 小时前
【完整源码+数据集+部署教程】【天线&水】舰船战舰检测与分类图像分割系统源码&数据集全套:改进yolo11-repvit
前端·python·yolo·计算机视觉·数据集·yolo11·舰船战舰检测与分类图像分割系统
哆啦A梦158821 小时前
点击Top切换数据
前端·javascript·vue.js