ASP.NET的身份证验证的问题
RegularExpressionValidator控件的正则表达式有一种例子就是身份证,很简单,就是以15位数字或是18位数字,但在实际中,有些人的身份证是17位数字加一位x,这样就通不过验证了。昨天在微软工程院的校园招聘宣讲会上,有人就提这样的问题,主持人还居然说了我的名字,尴尬。posted on 2004-09-28 09:11:00 by zjf 评论(13) 阅读(2279)
不同层次上的安全
TechEd第三天,参加老凯主持的关于网站安全性的BOF,老凯讲的安全性主要是在应用层上的,更多的问题都是源于开发人员或管理人员的不小心而造成的,比如Sql注入攻击,Cookie认证上的注入攻击,QQ等IM聊天记录的丢失而造成的安全问题,和我在平常上想象的安全性问题完全不一样,我一直设想安全性问题都存在于底层,比如IP包的接收时的缓冲区溢出。老凯讲了一个这样的故事,说有一些安全产品有一个功能就是扫描有没有文件的.bak文件,因为用ultraedit或hexedit等工具编辑文件时,往往会留下一个.bak的备份文件,不小心就上传上去了。从我个人的角度看,这些本来是不应该有问题的问题,却是别人攻击的重点,也许从另一个角度说明,开发人员和管理人员对网站安全性问题的不够重视,以致于犯下低级错误。
做到以下几点,至少可以避免80%以上的开发上的安全问题:
1.使用sql参数传值进行数据库查询
2.必须采用服务器验证,而不是客户端验证
3.不在服务器上直接改写代码,而改用本地调试,用软件上传更新的文件,同时,加上文件过滤,bak,cs文件不让他上传(比如用update Now)
而其他手段,比如服务器端权限控制,数据库服务器放在内网,这些也应该都是常识
posted on 2004-09-20 01:28:00 by zjf 评论(5) 阅读(1012)