《ASPX安全-只有ASPX安全才能拯救.NET》

本项目是记录自己在学习研究Aspx安全及代码审计过程中遇到的优秀内容，包括.NET代码审计资源以及.NET开发的应用程序组件协议等的安全内容。一个不会.NET攻击的黑客不是一个好师傅，一个不懂Aspx安全的师傅不是一个好黑客！深入理解.NET安全，手握众多重点Aspx应用高危0day！作者：0e0w

本项目创建于2021年9月2日，最近的一次更新时间为2022年3月15日。本项目会持续更新，直到海枯石烂。

• 01-Aspx安全研究资源
• 02-Aspx安全研究工具
• 03-Aspx安全漏洞环境
• 04-Aspx安全漏洞分类
• 05-Aspx安全代码审计
• 06-Aspx安全漏洞修复
• 07-Aspx安全高危应用
• 08-Aspx安全参考资源

01-Aspx安全研究资源

一、书籍资料

• 《Web安全设计之道：.NET代码安全、界面漏洞防范与程序优化》

二、基础教程

三、视频教程

• https://www.bilibili.com/video/BV1WV411e7c5

四、培训演讲

五、专利文献

六、审计报告

七、其他资源

• https://xz.aliyun.com/t/6646
• https://github.com/deanf1/dotnet-security-unit-tests
• https://mp.weixin.qq.com/s/QSiWJ8nT6J8gv8yCxFBHow

02-Aspx安全研究工具

一、反编译工具

• dnSpy https://github.com/dnSpy/dnSpy
• ILSpy https://github.com/icsharpcode/ILSpy
• dotPeek http://www.jetbrains.com/decompiler
• https://github.com/icsharpcode/AvaloniaILSpy
• https://www.cnblogs.com/ldc218/p/8945892.html https://blog.csdn.net/xiaoyong_net/article/details/80402343

二、反序列化工具

• https://github.com/incredibleindishell/ysoserial.net-complied
• https://github.com/pwntester/ysoserial.net

03-Aspx安全漏洞环境

04-Aspx安全漏洞分类

本部分详细列举常见的Aspx安全漏洞内容。

• SQLi
• XSS
• XXE
• CSRF
• SSRF
• 变量覆盖漏洞
• 业务逻辑漏洞
• 任意文件上传漏洞
• 任意文件写入漏洞
• 任意文件删除漏洞
• 任意文件包含漏洞
• 任意命令执行漏洞
• Aspx反序列化漏洞
  • https://mp.weixin.qq.com/s/7y-iyMMZAoN4B2dGvCFvXg

05-Aspx安全代码审计

一、Aspx安全Web漏洞

二、Aspx代码审计实战

06-Aspx安全漏洞修复

一、Aspx安全编码规范

二、Aspx安全漏洞修复

07-Aspx安全高危应用

• 红帆医院OA系统：http://www.ioffice.cn

08-Aspx安全参考资源

• https://github.com/Hackaspx/Hackaspx
• https://xz.aliyun.com/u/12258