iT邦幫忙

2023 iThome 鐵人賽

DAY 12
0
自我挑戰組

研究visual studio+MSSQL各項技術系列 第 12

常用的webconfig設定介紹(二) - 弱點掃描常用的webconfig設定

  • 分享至 

  • xImage
  •  

最近發現Bard會用中文回答了,然後就把以前整理的幾個關鍵字丟給Bard解答,
就當作參考,真的未來不用寫長篇大論了,還好我是自我挑戰組,不然去一般組用chatGPT或Bard寫教學這會被打的吧

一、webconfig弱點掃描常用設定
X-Frame-Options:
Referrer-Policy:
X-Content-Type-Options:
X-XSS-Protection:
Permissions-Policy:
Content-Security-Policy:
Strict-Transport-Security:
說明以上弱點掃描專有名詞的用途

Bard的回答:
以下是以上各個弱點掃描專有名詞的用途:
**X-Frame-Options:**用來防止跨網域框架攻擊(Cross-site framing attack)。攻擊者可以利用此攻擊將受害者的網站嵌入到惡意網站中,從而竊取受害者的 cookie 或其他敏感信息。X-Frame-Options 可以用來防止此攻擊,將其設置為 DENY 或 SAMEORIGIN。
**Referrer-Policy:**用來控制網站可以從何處獲取參考(referrer)信息。攻擊者可以利用參考信息來追蹤受害者的在線活動。Referrer-Policy 可以用來限制參考信息的傳輸,將其設置為 no-referrer、no-referrer-when-downgrade 或 origin。
**X-Content-Type-Options:**用來防止內容類型錯誤偽造(content-type sniffing)。攻擊者可以利用此攻擊來繞過瀏覽器的安全限制,執行惡意代碼。X-Content-Type-Options 可以用來防止此攻擊,將其設置為 nosniff。
**X-XSS-Protection:**用來防止跨站腳本攻擊(cross-site scripting attack)。攻擊者可以利用此攻擊在受害者的瀏覽器中執行惡意代碼。X-XSS-Protection 可以用來防止此攻擊,將其設置為 1 或 1; mode=block。
**Permissions-Policy:**用來控制網站可以訪問的權限。攻擊者可以利用此攻擊來獲取受害者的敏感信息。Permissions-Policy 可以用來限制網站的權限,將其設置為 none、default 或 policy-uri。
**Content-Security-Policy:**用來控制網站可以加載的資源。攻擊者可以利用此攻擊來注入惡意代碼。Content-Security-Policy 可以用來限制網站可以加載的資源,將其設置為一個或多個 指令。
**Strict-Transport-Security:**用來強制使用 HTTPS 協議。攻擊者可以利用 HTTP 協議來竊取受害者的敏感信息。Strict-Transport-Security 可以用來強制使用 HTTPS 協議,將其設置為 max-age、includeSubDomains 和 preload。
以下是以上各個弱點掃描專有名詞的具體用法:

X-Frame-Options:
**DENY:**阻止所有網站嵌入。
**SAMEORIGIN:**僅允許來自同一域的網站嵌入。
Referrer-Policy:
**no-referrer:**不傳輸參考信息。
**no-referrer-when-downgrade:**僅在響應被降級為 HTTP 時不傳輸參考信息。
**origin:**僅傳輸域名。
X-Content-Type-Options:
**nosniff:**阻止瀏覽器嘗試自動檢測內容類型。
X-XSS-Protection:
**1:**啟用 X-XSS-Protection。
**1; mode=block:**阻止 XSS 攻擊。
Permissions-Policy:
**none:**允許所有權限。
**default:**允許瀏覽器默認的權限。
**policy-uri:**參考一個策略 URI,該 URI 指定網站可以訪問的權限。
Content-Security-Policy:
**一個或多個指令:**指定網站可以加載的資源。
Strict-Transport-Security:
**max-age:**指定 HSTS 頭部可以存儲多長時間。
**includeSubDomains:**指定 HSTS 頭部應應用於子域。
**preload:**指示瀏覽器預加載 HSTS 頭部。
以上各個弱點掃描專有名詞都是 HTTP 頭部,可以用來提高網站的安全性。在部署上述弱點掃描專有名詞時,需要注意以下事項:

指令的設置要符合實際需求。
例如,如果網站不需要允許嵌入,則可以將 X-Frame-Options 設置為 DENY。
如果網站不需要追蹤參考信息,則可以將 Referrer-Policy 設置為 no-referrer。
如果網站不需要允許所有內容類型,則可以將 X-Content-Type-Options 設置為 nosniff。
如果網站不需要允許所有權限,則可以將 Permissions-Policy 設置為 none。
如果網站不需要加載所有資源,則可以將 Content-Security-Policy 設置為 一個或多個指令。
如果網站需要強制使用 HTTPS,則可以將 Strict-Transport-Security 設置為 max-age、includeSubDomains 和 preload。

至於chatGPT是這麼回答的:
以上列出的是一些常見的網頁安全標頭(HTTP頭部),它們在弱點掃描和網站安全方面扮演著重要的角色。 以下是它們的簡要說明:

X-Frame-Options:此標頭用於控制是否允許將網頁嵌套在 , , , 或 中。 這有助於防止點擊劫持攻擊,其中攻擊者試圖將你的網頁嵌套在他們的惡意網站上。

Referrer-Policy:此標頭控制瀏覽器是否發送來自目前網頁的參考(referrer)訊息給目標網頁。 這可以幫助保護用戶的隱私,防止洩漏敏感資訊。

X-Content-Type-Options:這個標頭用於防止瀏覽器對回應內容的 MIME 類型進行錯誤的 MIME 類型猜測。 它有助於防止一些類型的跨站腳本攻擊。

X-XSS-Protection:這個標頭啟用或停用瀏覽器內建的跨站點腳本(XSS)過濾器。 它可以幫助防止一些類型的XSS攻擊。

Permissions-Policy:此標頭可讓網站控制特定功能和API的權限。 它有助於限制網站對用戶設備的訪問,提高安全性。

Content-Security-Policy:CSP標頭定義了哪些資源可以載入到網頁中以及如何執行內聯腳本。 它是防範跨站腳本(XSS)攻擊的關鍵措施之一。

Strict-Transport-Security:HSTS標頭告知瀏覽器強制使用HTTPS與網站通信,從而減少中間人攻擊的風險。 一旦用戶第一次與網站建立安全連接,他們的瀏覽器將強制使用HTTPS與該網站通訊。

這些標頭在弱點掃描中用途廣泛,因為它們可以幫助發現和防止多種常見的網頁應用程式漏洞和攻擊。 例如,如果缺少Content-Security-Policy標頭,可能會使網站容易受到XSS攻擊;如果沒有Strict-Transport-Security標頭,網站可能容易受到中間人攻擊。 因此,透過分析這些標頭的存在和配置,安全專業人員可以評估網站的安全性並提供建議以改善其安全性。

二、webconfig加解密指令
本來只有加密語法範例,用chatGPT協助解說如下:
以下是用chatGPT的詳細說明:

在ASP.NET Web應用程式中,你可以使用ASP.NET提供的工具來加密web.config檔案中的敏感訊息,以增強應用程式的安全性。 以下是使用aspnet_regiis工具來加密web.config檔案中的連接字串的基本步驟:

開啟命令提示字元或PowerShell視窗。
導覽至.NET Framework的安裝目錄,通常為C:\Windows\Microsoft.NET\Framework\vX.X.XXXX,其中X.X.XXXX是.NET Framework的版本號碼。
使用以下命令來加密web.config檔案中的連接字串:
connectionStrings 是要加密的字串

aspnet_regiis -pef "connectionStrings" "C:\MyWebApp\web.config"

實際加密範例:
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\aspnet_regiis.exe -pef "appSettings" "c:\目標路徑"

實際解密範例:
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\aspnet_regiis.exe -pdf "appSettings" "c:\目標路徑"

參考:
匯出加密金鑰
https://learn.microsoft.com/en-us/previous-versions/aspnet/2w117ede(v=vs.100)?redirectedfrom=MSDN#%E5%8C%AF%E5%87%BA%E5%8F%8A%E5%8C%AF%E5%85%A5
組態檔案加密
https://learn.microsoft.com/en-us/previous-versions/aspnet/zhhddkxy(v=vs.100)?redirectedfrom=MSDN


上一篇
常用的webconfig設定介紹(一)
下一篇
物件導向特性:封裝(Encapsulation)、繼承(Inheritance)、多型(Polymorphism)、多載(Overloading)
系列文
研究visual studio+MSSQL各項技術30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言