偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

淺析ASP.NET Web應用程序的安全解決方案

開發(fā) 后端
本文介紹了ASP.NET Web應用程序安全的解決方案。ASP.NET Web應用程序主要的威脅來自未驗證的訪問、反向工程、代碼注入、通過異常獲得程序信息、未審核訪問。

asp.net Web應用程序安全隱患

1.對于程序集主要威脅:未驗證的訪問、反向工程、代碼注入、通過異常獲得程序信息、未審核訪問。

2.客戶端與Web應用程序之間的安全隱患:代碼注入(跨站點腳本或緩沖區(qū)溢出攻擊)、網(wǎng)絡監(jiān)控(密碼和敏感應用程序數(shù)據(jù)探測)、參數(shù)破解(表單字段、查詢字符串、Cookie、視圖狀態(tài)、HTTP頭信息)、會話狀態(tài)變量ID取得、信息獲取(通常使用異常)。

3.Web應用程序客戶端與企業(yè)服務之間的安全隱患:非審核訪問、破解配置數(shù)據(jù)、網(wǎng)絡監(jiān)視、未約束代理、數(shù)據(jù)復制。

4.Web服務客戶端及其服務之間的安全隱患:非審核訪問、參數(shù)破解、配置數(shù)據(jù)取得、網(wǎng)絡監(jiān)、消息回復。

5.Remoting客戶端及服務器之間的安全隱患:非審核訪問、參數(shù)破解、序列化、網(wǎng)絡監(jiān)控。

6.客戶端到數(shù)據(jù)之間的安全隱患:非審核訪問、SQL注入、破解數(shù)據(jù)模型和鏈接詳細信息、網(wǎng)絡監(jiān)控、破解配置數(shù)據(jù)、破解面干應用程序數(shù)據(jù)。

asp.net安全架構(gòu)注意事項

1.在瀏覽器認證用戶;

2.在瀏覽器和防火墻通路中1)保護敏感數(shù)據(jù)2)阻止參數(shù)破解3)阻止會話攻擊和Cookie回復攻擊

3.在Web應用程序側(cè)1)提供安全配置2)處理異常3)審核用戶4)驗證輸入

4.應用程序服務器1)認證和審核上傳身份2)審核并記錄活動和事務

5.在應用程序服務器和數(shù)據(jù)庫間保護敏感數(shù)據(jù)

6.數(shù)據(jù)庫中加密或者哈希加密敏感數(shù)據(jù)

asp.net Web應用程序安全性隱患防治辦法

1. 防止跨站點腳本攻擊(Cross-Site Scripting Attack)

攻擊方法:在頁面通過輸入腳本或HTML內(nèi)容獲取敏感數(shù)據(jù)。

威脅指數(shù):6

攻擊結(jié)果:應用程序拒絕服務或重啟,獲得錯誤堆棧信息(※)推測代碼進行下一步攻擊。

※注:在asp.net配置文件中如果未關閉CustomErrors則可能導致在出現(xiàn)系統(tǒng)異常時顯示錯誤行代碼或數(shù)據(jù)庫連接字符串,泄漏配置數(shù)據(jù),造成危險隱患。

預防措施:asp.net控件驗證或服務器端輸入驗證。

采用客戶端驗證和服務器端驗證結(jié)合的方式對用戶輸入進行驗證,通過比較控件輸入和其HTML譯碼值的一致性確認輸入字符串中是否含有HTML特殊符號,以此作為依據(jù)轉(zhuǎn)化HTML特殊符號,防止腳本在回發(fā)表示時觸發(fā)。

2.防止SQL注入攻擊(SQL Injection Attack)

攻擊方法:通過畫面輸入或URL參數(shù)修改,利用其作為SQL查詢條件的特殊性,將輸入SQL文注入并返回結(jié)果的攻擊。

威脅指數(shù):9

攻擊結(jié)果:可查詢敏感數(shù)據(jù)并可修改系統(tǒng)數(shù)據(jù)。

預防措施:在數(shù)據(jù)更新和查詢時使用數(shù)據(jù)庫參數(shù)對象或使用自定義方法轉(zhuǎn)換輸入?yún)?shù),以使注入SQL文失效。

3.驗證用戶輸入

通過客戶端驗證為主、服務器端驗證為輔(當禁用客戶端Javascript時服務器端驗證就尤為重要)

客戶端驗證主要負責驗證用戶輸入的類型、長度、關聯(lián)關系的驗證(此功能由系統(tǒng)擴展控件提供);

服務器端驗證分為兩部分:

1) 輸入驗證

輸入驗證需要對用戶輸入文字的HTML特殊字符進行驗證,含有特殊字符的要拋出系統(tǒng)錯誤;數(shù)據(jù)的長度控制盡量在畫面通過控件的允許輸入長度進行控制;

2) 數(shù)據(jù)驗證

驗證數(shù)據(jù)類型、長度等;此驗證行為在對象上進行。

4.使用Hash算法保存密碼

使用asp.net Membership管理用戶,用戶密碼使用Hash算法和Salt加密,安全性高;

對于其它需要保存的密碼,系統(tǒng)基礎結(jié)構(gòu)將提供Hash加密算法進行不可反向加密,作為驗證憑據(jù),或者先取先用不保存在數(shù)據(jù)存儲中。

5.數(shù)據(jù)安全性

1)加密敏感數(shù)據(jù):基礎結(jié)構(gòu)應提供Hash加密算法支持數(shù)據(jù)加密。

2)XML數(shù)據(jù)安全性:防止XML數(shù)據(jù)攻擊。

攻擊方法:XPath注入和XXE(擴展XML實體)注入攻擊。

威脅指數(shù):8

攻擊結(jié)果:獲得XML文件信息。

預防措施:不在XML中保存敏感信息,所有配置文件中的敏感信息需要加密保存,對于要寫入XML的數(shù)據(jù)應先通過驗證。

3)ViewState數(shù)據(jù)安全性:防止從ViewState獲取敏感數(shù)據(jù)。

攻擊方法:通過解碼ViewState獲得敏感信息。

威脅指數(shù):6

攻擊結(jié)果:獲得ViewState中的敏感信息。

預防措施:禁用ViewState或避免,使用簡單控件采用加密方式保存敏感信息。

關聯(lián)問題:使用JSON字符串時注意敏感數(shù)據(jù)的處理。

6.存儲安全信息到注冊表和配置文件

控制遠程用戶對配置文件的訪問權(quán)限,保護配置文件中的敏感數(shù)據(jù)。

7.再發(fā)布前修正配置文件

為防止錯誤堆棧信息推測以及通過其它信息查獲手段進行攻擊,asp.net Web應用程序在發(fā)布前應對配置文件進行修正。

錯誤堆棧信息推測攻擊

攻擊方法:造成系統(tǒng)異常,通過錯誤頁上的堆棧信息推測代碼進行下一步攻擊。

威脅指數(shù):6

攻擊結(jié)果:推測系統(tǒng)版本和代碼邏輯。

預防措施:捕獲系統(tǒng)異常使用統(tǒng)一頁面進行處理不表示錯誤堆棧信息,將自定義錯誤節(jié)點設置為< customErrors mode=”O(jiān)ff” />即可防止錯誤信息表示給遠程用戶;同時應關閉調(diào)試開關< compilation defaultLanguage=”vb” debug=”false” />防止通過調(diào)試信息泄漏源代碼或進行代碼注入。

同時應該關閉Trace優(yōu)化性能并防止方法攻擊者利用Trace推測代碼執(zhí)行過程和詳細內(nèi)容:< trace enabled=”false” requestLimit=”10” pageOutput=”false” traceMode = ”SortByTime” />

對于Web服務要防止遠程用戶利用WSDL描述進行推測攻擊。

攻擊方法:訪問Web服務WSDL文件,獲得Web服務相關信息。

威脅指數(shù):4

攻擊結(jié)果:獲得Web服務方法描述,推測Web服務參數(shù),進行下一步攻擊。

預防措施:在配置文件中指定不表示W(wǎng)eb方法描述內(nèi)容,配置文件改修如下:

  1. < webServices>  
  2.  
  3. < protocols>  
  4.  
  5. < remove name="Documentation"/>  
  6.  
  7. < /protocols>  
  8.  
  9. < /webServices>  
  10.  

8.使用Session但不使用Cookieless的Session

原因:Cookieless的Session將在URL中曝露SessionID,使別人易于利用進行攻擊。

9.預防方向工程

攻擊方法:獲得程序集使用工具進行反向工程。

威脅指數(shù):9

攻擊結(jié)果:了解程序邏輯,盜取開發(fā)成果。

預防措施:在發(fā)布時進行強加密和混淆工程。

以上就介紹了ASP.NET Web應用程序的安全解決方案。

【編輯推薦】

  1. ASP.NET中的“三層結(jié)構(gòu)”簡介
  2. ASP.NET中優(yōu)化性能方法26則
  3. 比較ASP.NET中的html控件和web控件
  4. ASP.NET中的對象描述
  5. 在ASP.NET中使用Session常見問題總結(jié)
責任編輯:book05 來源: cnblogs
相關推薦

2009-07-20 16:08:04

ASP.NET應用程序

2009-07-29 10:30:53

Web應用程序ASP.NET

2009-07-20 16:03:14

ASP.NET 2.0

2009-07-27 15:19:54

2009-07-24 11:25:53

Web應用程序工程ASP.NET MVC

2009-07-21 15:23:55

預編譯Web應用程序ASP.NET

2009-07-24 10:41:00

ASP.NET Web

2009-07-29 11:25:40

2009-07-28 14:54:47

web.config文ASP.NET應用程序

2009-07-21 15:02:19

ASP.NET應用程序

2009-07-22 17:32:40

ASP.NET應用程序

2009-07-23 13:26:21

2009-07-27 16:09:50

2009-07-29 17:01:13

2009-08-05 10:16:54

部署ASP.NET應用

2009-07-29 17:21:10

2009-07-28 17:49:44

ASP.NET數(shù)據(jù)庫連

2009-07-29 11:33:14

ASP.NET技巧ASP.NET應用程序

2009-07-29 17:20:18

應用程序異常

2009-07-28 15:53:43

ASP.NET Web
點贊
收藏

51CTO技術棧公眾號