如何构建安全的.net web应用系统

转载 2007年09月29日 14:52:00

构建一个安全的系统,这是一个非常庞大的工程。它包括设置网络安全,设置操作系统安全以及应用程序本身的安全性。本文介绍的是有关应用.Net技术如何构建一个安全的Web应用系统。

一 安全涉及的服务

构建一个Web应用系统,肯定要涉及到客户端,iis以及数据库等各个组建。下面这幅图[该图来源:http://msdn2.microsoft.com/en-us/library/aa302415.aspx]很好地反映了web应用程序的整个风貌,左边表示web应用程序设计的组件或服务,右边表示各个组件或服务可以考虑使用的安全方案。
比如在IIS这个环节上,我们可以使用匿名访问或设置其它的验证控制方式,可以设置IP地址和域名限制,也可以设置安全案通讯服务器证书。最新版本的IIS都较上一个IIS版本更好的安全改进。最新的IIS7新增安全性可以阅读http://blogs.iis.net/bhill/archive/2006/08/16/Security-features-in-IIS-7.aspx

二 IIS的设置

如何设置IIS,在最大程度上确保IIS安全呢?
1. 给IIS打好补丁。 每隔一段时间,微软都会发布一些安全更新的补丁,必须及时给您的系统打上这些更新补丁。
2. 更改vs 2005自动生成的web项目的文件存放位置。建立web项目时,vs 2005会自动在C:/Inetpub/wwwroot下创建项目目录,更改这个自动生成的目录,将他放在其他盘下的某个位置,将会增加入侵者找到文档目录的难度。
3. 如采用匿名访问,给匿名用户尽量少的系统权限。
4. 如有必要,给站点设置IP地址限制。
5. 禁用目录浏览项目,阻止恶意用户导航到带有危险工具的目录。
   [站点]->[属性]->[主目录]->[目录浏览]
6. 禁用父路径浏览,以防恶意用户使用MapPath方法浏览父目录。
   [站点]->[属性]->[主目录]->[应用程序配置]->[启用父路径]
7. 删除不必要的IIS虚拟目录


三 Web程序的设置

1. 设置服务器的验证方式
.net 提供了我们三种验证的方式,分别为Windows身份验证,窗体身份验证和.net Passport身份验证。对于这三种验证方式,msdn中的 http://msdn2.microsoft.com/en-us/library/aa302388.aspx 一文已对此作了非常详细的介绍。

2. 加密连接数据库字符串
  不少朋友喜欢将连接数据库字符串直接放在web.config中的<connectionStrings>节点下,如同<add name="SQLConnString" connectionString="Data Source=... User Id=...;Password=....;Initial Catalog=...;" providerName="System.Data.SqlClient"/>其实这样做非常不安全,万一web.config这个文件被非法用户获取,那么数据库服务器上的数据库及用户名密码信息就会被一览无余,这等于给了非法用户一个防盗门的钥匙。有两中较好的方法加密方法:

方法1:
msdn中有两篇很好的文章分别叙述了如何使用DPAPI和RSA分别给它加密。
Encrypt Configuration Sections in ASP.NET 2.0 Using DPAPI: http://msdn2.microsoft.com/en-us/library/ms998280.aspx
Encrypt Configuration Sections in ASP.NET 2.0 Using RSA: http://msdn2.microsoft.com/en-us/library/ms998283.aspx

方法2:
在windows注册表中新建键值,将SQLConnString加密后的信息存放在该键值上,然后设置某部分用户才有权限去读取注册表中的键值,这不失为一种更为安全的方法。

3.  预防跨站点攻击

何为跨站点攻击?跨站点攻击是恶意教本通过其他站点通过脚本的形式注入系统。
如 view.aspx?stuname=sam 写成view.aspx?stuname=<script>alert('you are attacked!')</script>
这就是一个典型的跨站点攻击。

预防的措施有:

1. 限制输入格式,输入类型,输入长度以及输入字符
 如果你使用asp.net的web控件,可以使用asp.net提供的服务器端验证控件加以验证。如果使用html server端控件,那就需要使用System.Text.RegularExpressons.Regex在服务器端加以验证。
注意,不要仅仅在客户端使用js代码加以验证。因为客户端的js脚本可以轻松地通过禁用教本语言将它忽略。我对客户端的js脚本的理解是,他仅仅帮助改善用户体验。

2. 格式化输出。将输入的内容通过HttpUtility.HtmlEncode处理,这样就不能直接看出输出的内容。

3.  要注意使用一些有潜在危险的html标签,这些标签很容易嵌入一些恶意网页代码。如<img> <iframe><script><frameset><embed><object>< style>等。

4. 预防SQL注入式攻击

何为SQL注入式攻击? 利用SQL语法规则,构建出恶意攻击语句入侵数据库系统。
比如,用户输入了 a'; drop database ***
将原本的select * from user where username = 'a' 构建成了select * from user where username = 'a';drop database *** . 类似这种恶意的攻击后果非常严重,这句话就足以将您的数据库删除!!

预防的措施有:

1. 限制输入格式,输入类型,输入长度以及输入字符
2. 使用带参数的动态SQL语句,或者使用代参数的存储过程。这样程序中代替参数的内容将不被视为可执行的 代码,仅仅是表示一段文本。
3. 限制数据库帐户的权限,坚持帐户最小权限原则。
4. 如有必要,不给程序中连接数据库的帐户操作数据库表的权限。通过建立存储过程,给帐户操作存储过程的权限,通过存储过程实现数据库表的增删查改。


四. 数据库安全设置

对数据库的安全设置内容也非常博大精深,很多公司也有专门的数据库管理员负责数据库的安全。考虑以下几项内容,对数据库的安全一定也有帮助。
1. 及时安装数据库补丁
2. 给帐户设置尽量少的权限。
3. 给sa帐户设置复杂的密码。该密码要包含数字,字母及如!#%等非字母字符,长度要>=8.
4. 按必要删除一些不用的服务,比如终端服务等等。

如何构建安全的.net web应用系统是在是博大精深,当然在不同情形下,对应用程序的安全有不同级别的要求,每个开发人员也应从实际出发,构建符合实际需要的安全的系统。以上是我在实践中积累的一点经验,写出来供大家参考,不当之处,欢迎大家讨论。

如有兴趣,更多更精深的内容也可以阅读http://msdn2.microsoft.com/en-us/library/aa302415.aspx

 

转自: http://www.cnblogs.com/Ring1981/archive/2007/02/10/646489.html

如何构建安全的.net web应用系统

如何构建安全的.net web应用系统 构建一个安全的系统,这是一个非常庞大的工程。它包括设置网络安全,设置操作系统安全以及应用程序本身的安全性。本文介绍的是有关应用.Net技术如何构建一个安全的We...
  • sgear
  • sgear
  • 2007年03月13日 15:44
  • 737

当我们谈Web应用安全的时候 主要谈哪些

在本文中,主要探讨Web应用程序的安全性,主要包括漏洞攻击者如何利用不安全的Web应用程序来危害整个服务器或者破坏一个网站、以及开发人员如 何避免引入这些漏洞。主要介绍业界几个需要被着重考虑的Web应...
  • nineteen73
  • nineteen73
  • 2016年07月07日 21:32
  • 1267

WEB应用如何解决安全退出问题

让我先来描述一下这个情况。一位用户第一次请求一个web页面,web应用弹出登录窗口提示用户登录,用户输入用户名,密码,验证码后服务器进行判断,正确后,返回用户请求的页面。     此时,用户有事需要离...
  • u010982006
  • u010982006
  • 2013年12月02日 22:23
  • 2205

构建高性能web应用 .net

如果你在构建一个面向公众的web站点,那么在项目结尾时你想要实现的就是web负载性能良好。这意味着,你要确保你的产品在高负载下(50个并发用户或者每秒200个用户等等)能够运行,即使你认为此时不会有那...
  • jacky_zh
  • jacky_zh
  • 2016年11月18日 13:56
  • 321

关于Windows 2008 R2 Web服务器环境搭建、安全流程

关于Windows 2008 R2 Web服务器环境搭建、安全流程 Windows Server 2008R2服务器安装及设置教程; 第一篇:系统安装与设置 前言: 本安装及设置教程适用于使用Wind...
  • uc3512351
  • uc3512351
  • 2013年08月06日 16:43
  • 2988

ASP.NET Webform 与JQuery Ajax

在webform 中使用AJAX 能把人逼疯:)以下介绍的是在aspx页面的code-behind 中添加静态方法的方法:    (敲黑板)以下是注意点:方法一定是静态的。[webmethod] 一定...
  • SheeranX
  • SheeranX
  • 2017年11月15日 20:02
  • 75

构建安全的Android APP.pdf 免费下载

构建安全的Android APP.pdf 下载地址:https://rejoice.ctfile.com/fs/1475340-232058430
  • jiongyi1
  • jiongyi1
  • 2017年12月22日 23:45
  • 109

使用Maven构建Web应用(上)

在Java的世界中,Web应用占有很大的地位,而它的标准打包方式是WAR。接下来通过Maven构建一个WAR应用,不过由于篇幅,这一篇先介绍Maven中的Web项目结构和服务模块的构建,WAR应用放在...
  • zhang_zp2014
  • zhang_zp2014
  • 2015年07月28日 16:23
  • 566

WEB应用的安全的登录认证

前些日子看到一个关于安全登录认证的博文,不过该文提到的登录认证算法有点复杂,而且仍然存在一些安全缺陷。想到之前了解过的HMAC算法,我觉得完全可以使用基于HMAC算法来进行WEB应用的安全的登录认证。...
  • az44yao
  • az44yao
  • 2014年03月15日 18:14
  • 945

从认识web应用开始(二)web应用基础-HTTP应用

第一篇认识TCP通信延迟,试图总结了一下复杂的网络通信一些原理、算法基本思路。目的就是为了说明一下绝大部分web应用所依赖的底层TCP通信协议机制带来“延迟”的问题和一些常见的优化的手段。     ...
  • wangfengwf
  • wangfengwf
  • 2016年12月05日 16:58
  • 616
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:如何构建安全的.net web应用系统
举报原因:
原因补充:

(最多只允许输入30个字)