提问人:JustAMartin 提问时间:3/19/2013 更新时间:3/19/2013 访问量:93
如何通过报错反馈链接防止网站攻击?
How to prevent website attacks through an error reporting feedback link?
问:
我正在开发一个网站,目前大部分网站仅是 Intranet 并使用自定义身份验证。网站需要错误报告功能。我已经在后端设置了所有内容(数据库表、相关标识符,用于跟踪从我的 ASP.NET MVC 网站到我的 WCF 服务的错误)。
当发生某些异常时,它会被记录下来,并向用户显示一个反馈表单,用户可以在其中填写其他详细信息。
问题在于,显然有人可能会滥用该错误报告链接并开始发布一些垃圾数据,甚至可能将该链接用于 DoS 攻击。我不想使用身份验证来保护此页面,因为用户可能想要报告他在登录时遇到问题。
现在的问题是 - 如何防止黑客和恶意用户通过错误报告表攻击网站?是否有任何已知的方法和最佳实践(验证码似乎有点不适合公司业务应用程序)?
我想使保护尽可能简单 - 在错误报告表单本身中获得另一个异常并不好。
答:
1赞
explunit
3/19/2013
#1
如果该站点仅供 Intranet 使用,为什么防火墙内有如此多的黑客和邪恶用户?:-)
但说真的,即使对于经过身份验证的用户,您也应该已经应用了最佳安全实践(例如,防止跨站点脚本和 SQL 注入)。如果其中一个人的计算机上有恶意软件,导致他们的浏览器在身份验证后将恶意内容发布到 Web 表单中怎么办?
对于 .net 开发人员来说,本系列文章非常适合防范 10 大安全威胁: http://www.troyhunt.com/2011/12/free-ebook-owasp-top-10-for-net.html
一旦你对将这些最佳实践全局应用于代码充满信心,我就不明白为什么仅 Intranet 反馈表单会出现任何进一步的问题。
上一个:Win32:如何崩溃?
评论