ASP.NET常见漏洞

1. 未隐藏错误讯息 
   开发人员常会将<customErrors mode="Off" />方便排错，但正式上线时却忘了移除，导致一旦程序出错，相关程序代码细节甚至程序片段就赤裸裸地展示出来。黑客可能由其中找到相关的文件位置、数据库信息、组件版本... 等信息，提供入侵的指引。
2. 关闭Request Validation 
   依Hunt的统计，近30%的网站豪迈地关闭了全站的Request验证。若真有需要，针对页面关闭就好，至少伤害面变小，但如果心有余力，避开此限制保持后门紧闭还是上策。
3. 未更新Windows/IIS 
   去年底被揭露的HTTP POST Hash DoS漏洞，攻击者用简单的Request就能让网站忙到死去活来，终至服务瘫痪。微软已在2月发布补定，但是似乎还有50%的网站未完成更新。
4. ELMAH存取未设限 
   关于ELMAH存取设定的风险之前也有文章 《大叔手记（18）：利用Elmah和Google体验一把入侵的快感》提过，稍有不慎，程序里的秘密就会大放送，十分危险，甚至黑客还可能藉此伪造ASP.NET Session冒充身份，挺恐怖的。
5. 未关闭Trace 
   虽然比例不高，但通过trace.axd黑客还是能搜集到很多重要情报，上线到正式环境时记得关闭。

6. 黑客利用ASP.NET漏洞获得电脑MachineKey

        问题在于如果用户使用了微软提供的窗体验证框架，就会出现安全漏洞，被黑客破解了保存安全信息的算法（machine key）, 然后获取了管理员权限，下载服务器的文件。

   7.