web上的安全,除了上次說的xss外,還有非常多的項目,包含上傳圖檔,是網站常用的功能,但這一功能就有非常多的地方要注意,如限制上傳的大小、限制副檔名、設定該資料夾只能讀取、上傳後變更檔名、上傳的副檔名是否為多重副檔名,以騙過程式檢核,如.xxx.asp.gif、...
每一個環節都是重點,另外像是http get的方式傳值，若是沒有擋sqlinjection,那網站就等著被玩弄,沒有必要不要用http://xxx.xxx.xxx/aaa.aspx?id=12345這種方式去開發系統,這是一種古老又不安全的方式,若是使用者把12345改為123456,就呈現出另外一個人的資料,那網站還有什麼控制性可言, 而get方式傳值,都是明碼,若是身分證或重要資料也這樣做,那根本是沒有安全控管的網站,

就算要傳值,也要基本的加密,才用get的方式傳遞,以往最常看到的就是,http://xxx.xxx.xxx/aaa.aspx?pageNo=1,這種古老又化石時代的做法就讓他封存了,這樣開發出來的網站或系統有什麼意義,使用者直接改1.2.3.4.5.6....,就可以換頁了,那還要去操作什麼網站,工程師還做分頁功能有何意義..

再來是sql injection的問題,asp.net有SqlParameter可用,就老實的用,不要在用恐龍時代的做法,自己去replace關鍵字 insert, where ,; ' ,.....
整個.net framework功能龐大,很多功能都有,只是不知道怎麼用,或懶的用,造成很多安全的問題..

另外web上要防止釣魚,可以模擬yahoo的安全圖章機制,大概的原理是:
在Cookie可能被使用者關閉 而ActiveX也可能被IE安全性阻擋的前提下...要做到防止網路釣魚 多一層網站的安全防護 就如同知名的YAHOO奇摩 的安全圖章...則必須利用Flash的特性 配合多項技術來達成. 這也解釋了讓人好奇的YAHOO奇摩的安全圖章機制 是如何達成的...當關閉Cookie後...網站安全圖章依然能夠正常運作辨識..

在作業系統的安全性防護... IE的安全性機制下...並且使用者對本身的操作環境 有個人設定的調整習慣...有心人士可能利用各種偽冒 欺騙手段詐取個人資訊的前提下...要繞過總總機制...達到完善的安全防護...並非易事...因此可以利用網站安全圖章 配合ASP.NET的 FormsAuthencation驗證模式...密碼MD5 SHA1加密...等多種手段...來達成最終的安全防護.

利用 Flash Shared Object 讀寫 .sol 檔，Flash Player 是一個極為普遍的元件，各種作業系統、瀏覽器乃至手機、PDA等裝置都可以找到它的蹤跡，其 ActionScript 讓開發人員得以寫程式整合 JavaScript 或者透過網路與伺服端通訊.

當然要實作出來,是沒問題的,只是中間包含了很多的專業所組合起來的,但分開來說,卻是很多人都會的技術,以就是說,能想到把那些機制和技術組合起來,是不簡單的,重新的排列組合, 創造出新的東西,這才是IT人要自我精進的地方,而不是總是認為成是能跑就好了,管他多亂,反正會動就交差,這樣是用遠都不會進步的..