HP的白皮書(shū)《Top six security mistakes .NET developers make : are your web applications vulnerable ?》中提到:行業(yè)分析估計(jì)超過(guò)70%的安全問(wèn)題是伴隨應(yīng)用程序一起發(fā)生的�����,很多是由于代碼的安全性缺陷造成的����。
微軟在.NET中增加了不少的安全特性來(lái)幫助開(kāi)發(fā)人員創(chuàng)建更加安全的應(yīng)用程序。但是并不是每位開(kāi)發(fā)人員都很好地使用了它們����。
文中列出了.NET開(kāi)發(fā)者在安全性方面通常會(huì)犯的6個(gè)主要的錯(cuò)誤:
1、在開(kāi)發(fā)過(guò)程中沒(méi)有把安全考慮進(jìn)去�。
2、SQL注入(SQL injection)����。
3、跨站腳本(Cross-site scripting)�。
4、把用戶(hù)輸入作為文件名����。
5�����、不恰當(dāng)?shù)厥褂胏ookies和隱藏參數(shù)(hidden parameters)�。
6�、在Web.config文件中使debug選項(xiàng)可用。
