ASP.NET網絡安全簡單防禦公開課

　　今天下午看了一下itcast的公開課，2010年10月28號，雖然很早了，可是才下載下來看。之前看完了itcast的全部免費視頻教程，2010年版的13季，2011年版的ASP.NET!=拖控件系列，收穫了不少，在此很感謝itcast提供的免費視頻。也曾打算過去北京實地培訓，拜師楊中科老師，但1萬5的費用（學費+吃住等開銷，至少1萬5吧）暫時還承受不住。因而只有多利用點免費資源，多去51aspx網下點項目來觀摩並實踐來知足本身的學習。

　　今天看的這期是關於ASP.NET的網絡安全簡單防範的，作了以下學習筆記（要點）：
　　1.SQL注入式漏洞攻擊：萬能密碼：'0' or '1=1'
　　2.XSS跨站腳本攻擊：ASP.NET默認就攔截了潛在的XSS，如需使用編輯器須要設定ValidateRequest=false
　　3.客戶端校驗不可信原則：有可能客戶端禁用了JavaScript
　　4.投票、重複點擊、Cookie、不須要Ajax能夠刷：判斷報文請求的RequestType或者UrlReferer
　　5.防止暴力破解與機器人發帖：驗證碼、錯誤N次便鎖定帳戶1小時等等方法
　　6.敏感詞過濾：設置禁用詞、審覈此、替換詞等，審覈詞普通用戶看不到，只有管理員才能看，管理員確認不會形成安全問題的帖子才審覈經過，不然不能經過。techs：緩存、正則表達式
　　7.MD5加密算法：不可逆算法，沒法進行反向計算，保證系統安全；
　　8.IIS安全配置：（1）文件權限設置：禁止用戶上傳含有惡意代碼的文件，例如xxx.aspx等；（2）禁止目錄瀏覽；

　   其中好幾條都是在免費的2010版視頻中提到過的，其餘的也是簡單地一帶而過，不過免費公開課視頻嘛，就不能要求太多了哈。畢竟itcast能放出這麼多視頻就已經很不錯了，並且還確實是在憑良心掙錢（這裏不經意間以爲在給itcast打廣告了，就算是給它打廣告吧，誰叫它確實講得很好呢。）有機會的話，真的想去北京實地培訓，去見見久仰大名的老楊，還有皺華棟老師，原本還有張孝祥老師，但張老師英年早逝，哀哉哀哉，爲中華軟件之崛起而講課的重任留給了黎活明和老楊等人了，但願.NET的名聲能在正確的老師正確的方法正確的案例的教育下愈來愈好，再也不被某些語言的程序員所看不起，也但願本身能作一個合格的.NET程序員！！