Las notas sobre las páginas web de desarrollo de ASP se recomiendan en el blog de Rainman_Net
Palabras clave El desarrollo web ASP es importante tener en cuenta
Fuente
Nunca creas que el contenido ingresado por el usuario es del tamaño correcto o contiene los caracteres correctos. La entrada del usuario siempre debe validarse antes de usarla para tomar decisiones. La mejor opción es crear un componente COM+ para que pueda llamarlo desde la página ASP para verificar la entrada del usuario. También puede usar el método Server.htmlencode, el método Server.urlencode o uno de los ejemplos de código en la parte inferior de esta página.
No cree cadenas de conexión de base de datos en páginas ASP conectando cadenas ingresadas por el usuario. Los usuarios maliciosos pueden obtener acceso a la base de datos insertando código en su entrada. Si está utilizando una base de datos SQL, use procedimientos almacenados para crear una cadena de conexión de la base de datos.
No use el nombre de cuenta de administrador SQL predeterminado SA. Cada usuario que usa SQL sabe que existe la cuenta SA. Cree otra cuenta de administración SQL con una contraseña segura y confiable y elimine la cuenta SA.
Antes de almacenar contraseñas de usuario del cliente, use un algoritmo de hash, codificación base64 para estas contraseñas o use server.htmlencode o server.urlencode para codificar. También puede usar un ejemplo de código en la parte inferior de esta página para verificar los caracteres en la contraseña del cliente.
No coloque el nombre o contraseña de la cuenta administrativa en scripts administrativos o páginas ASP.
No tome decisiones en el código en función del título solicitado, porque los datos de los títulos pueden ser forjados por usuarios maliciosos. Siempre codifique los datos solicitados o use el siguiente ejemplo del código para verificar los caracteres que contiene.
No almacene datos seguros en cookies ni oculte campos de entrada en páginas web.
Siempre use la capa de enchufes seguras (SSL) para aplicaciones basadas en sesión para evitar el riesgo de enviar cookies de sesión sin cifrarlas. Si la cookie de sesión no está encriptada, un usuario malicioso puede usar la cookie de sesión en una aplicación para ingresar otra aplicación en el mismo proceso que él.
Al escribir aplicaciones ISAPI, filtros o objetos COM+, tenga en cuenta los desbordamientos del búfer debido al tamaño de variables y datos. También tenga en cuenta los problemas de normalización que pueden ser causados por la interpretación, como la interpretación de los nombres de ruta absolutos como nombres o URL relativos.
El token simulado se desactualará cuando una aplicación ASP que se ejecute dentro de una sola unidad roscada (STA) cambia a una unidad de múltiples subprocesos (MTA). Esto puede hacer que la aplicación se ejecute sin simulación, lo que le permite funcionar de manera efectiva con una identidad que puede permitir el acceso a otros recursos. Si tiene que cambiar el modelo de roscado, deshabilite la aplicación y desinstale antes de hacer el cambio.