<webServices>
<protocols>
<remove/>
</protocols>
</webServices>
8. 使用Session但不使用Cookieless的Session
原因:Cookieless的Session将在URL中曝露SessionID,使别人易于利用进行攻击。
9. 预防方向工程
攻击方法:获得程序集使用工具进行反向工程。
威胁指数:9
攻击结果:了解程序逻辑,盗取开发成果。
预防措施:在发布时进行强加密和混淆工程。
参考:
ASP.NET Security: 8 Ways to Avoid Attack
《Hacking Exposed Web 2.0 : Web 2.0 Security Secrets and Solutions》,Rich Cannings, Himanshu Dwivedi, Zane Lackey,2008.