经典ASP中的OWASP

Question

我正在尝试将OWASP与一些经典ASP应用程序一起使用,但没有找到有关如何执行此操作的详细信息,例如一步一步.

该网站看起来是起点:https://www.owasp.org/index.php/Classic_ASP_Security_Project但有人有视频,或一步一步？

真的很感激

Answer 1

经典ASP中没有真正的安全性.

• 没有身份验证模型,因此每个应用程序都必须自己做
• 会话管理较弱,无法轮换会话标识符或阻止会话劫持.没有反CSRF支持
• 没有授权模型,因此每个应用程序都必须自己做.这意味着大多数经典ASP应用程序在演示文稿,业务逻辑和数据模型层都存在访问控制问题.
• 输入验证很弱,因为大多数输入验证都是字符串替换,这是不够的.
• 只有server.htmlencode()和urlencode用于输出编码,但是其他10个左右的输出上下文没有其他方法,所以XSS很可能
• 除了使用存储过程之外,没有任何方法可以阻止SQL注入,但如果你做错了,那就充满了风险.
• 没有使用ActiveX服务器对象来调用Win32 api来使用Windows事件日志,没有简单的日志记录方法.这既不简单也不简单,因为它们旨在与本地化资源一起使用,而不是像syslog一样.
• ASP中的安全配置很少,反映了其简单而古老的根源.你可以在代码或global.asa中做很少的事情来改进.

努力将ESAPI移植到经典ASP.我认为他们没有完成.您可以通过COM导出使用ESAPI for .NET,但我不一定会在它上面工作.

在此阶段,您应该研究升级到ASP.NET 4.0或更高版本.

感谢
Andrew van der Stock
OWASP开发者指南2013领导者