ASPX、.NAT(环境/框架)安全
源自小迪安全b站公开课
1、搭建组合:
- Windows
- IIS
- aspx
- sqlserver
.NAT基于windows
C++开发的框架/环境
对抗Java
xx.dll <=> xx.jar
关键源码封装在dll文件内。
2、.NAT配置调试-信息泄露
功能点:
关闭customError:
泄露版本信息,部分路径
开启customError:
3、.NAT源码反编译-DLL反编译
路径:/bin/xx.dll
工具:ILSpy
分析流程:
aspx文件内容很少,但会调用bin/目录下的dll文件。
4、NAT常见安全问题-未授权访问
- 前台:非法登录会员账号
- 后台:非法登录管理账号
判断用户身份的方法:
- 每个页面(文件)都有判断代码
- 一个文件专门用于判断,其他文件包含(调用)它
找未授权漏洞思路:
- 找哪些文件未包含判断代码文件
- 判断代码文件是否可以绕过
.NAT比较常见,找源码翻翻。
![[web]-图片上传、文件包含-图片上传](https://i-blog.csdnimg.cn/direct/773b3cb05faa455fbf47033a1b24b790.png)
![[ACM独立出版]2024年虚拟现实、图像和信号处理国际学术会议(ICVISP 2024)](https://csdnimg.cn/release/blog_editor_html/release2.3.6/ckeditor/plugins/CsdnLink/icons/icon-default.png?t=N7T8){kind=icon}
![[Python学习篇] Python包管理工具pip](https://i-blog.csdnimg.cn/direct/65fcfb346f924b01acd0f6c3c9638441.png)
