国外做的好点电商网站seminar

ASPX、.NAT（环境/框架）安全

源自小迪安全b站公开课

1、搭建组合：

• Windows
• IIS
• aspx
• sqlserver

.NAT基于windows

C++开发的框架/环境

对抗Java

xx.dll <=> xx.jar

关键源码封装在dll文件内。

2、.NAT配置调试-信息泄露

功能点：

关闭customError：

泄露版本信息，部分路径

开启customError：

3、.NAT源码反编译-DLL反编译

路径：/bin/xx.dll

工具：ILSpy

分析流程：

aspx文件内容很少，但会调用bin/目录下的dll文件。

4、NAT常见安全问题-未授权访问

• 前台：非法登录会员账号
• 后台：非法登录管理账号

判断用户身份的方法：

1. 每个页面（文件）都有判断代码
2. 一个文件专门用于判断，其他文件包含（调用）它

找未授权漏洞思路：

• 找哪些文件未包含判断代码文件
• 判断代码文件是否可以绕过

.NAT比较常见，找源码翻翻。