CAS 代码访问安全性二 (翻译)

最新推荐文章于 2023-07-18 15:43:07 发布
最新推荐文章于 2023-07-18 15:43:07 发布
阅读量189 收藏
点赞数
分类专栏: [发布至博客园首页] 文章标签: UI Security C C++ C#

试一下下面的代码,我们之前没有使用security命名空间,但是我们现在来用用看。

<!--<br /> <br /> Code highlighting produced by Actipro CodeHighlighter (freeware)<br /> http://www.CodeHighlighter.com/<br /> <br /> --> using  System.Security;
 using  System.Security.Permissions;

添加另一个button到已经存在的form上。


<!--<br /> <br /> Code highlighting produced by Actipro CodeHighlighter (freeware)<br /> http://www.CodeHighlighter.com/<br /> <br /> --> private   void  btnFileRead_Click( object  sender, System.EventArgs e)
{
     try
    {
        InitUI( 1 ); 
    }
     catch  (SecurityException err)
    {
        MessageBox.Show(err.Message, " Security Error " );
    }
     catch  (Exception err)
    {
        MessageBox.Show(err.Message, " Error " );
    } 
}

InitUI只是调用ShowUI函数。记住它已经被拒绝了对c盘的读操作。


<!--<br /> <br /> Code highlighting produced by Actipro CodeHighlighter (freeware)<br /> http://www.CodeHighlighter.com/<br /> <br /> --> //  Access is denied for this function to read from C: drive
 //  Note: Using declrative syntax
[FileIOPermission(SecurityAction.Deny,Read = " C:\\ " )]
 private   void  InitUI( int  uino)
{
     //  Do some initializations
    ShowUI(uino);     //  call ShowUI
}

ShowUI函数得到uino显示适当的UI


<!--<br /> <br /> Code highlighting produced by Actipro CodeHighlighter (freeware)<br /> http://www.CodeHighlighter.com/<br /> <br /> --> private   void  ShowUI( int  uino)
{
     switch  (uino)
    {
         case   1 //  That's our FileRead UI
            ShowFileReadUI();
             break ;
         case   2 :
             //  Show someother UI
             break ;            
    }
}

ShowFileReadUI显示与读文件有关的UI

<!--<br /> <br /> Code highlighting produced by Actipro CodeHighlighter (freeware)<br /> http://www.CodeHighlighter.com/<br /> <br /> --> private   void  ShowFileReadUI()
{
    MessageBox.Show( " Before calling demand " );
    FileIOPermission myPerm  =   new  
      FileIOPermission(FileIOPermissionAccess.Read,  " C:\\ " );
    myPerm.Demand();
        //  All callers must have read permission to C: drive
       //  Note: Using imperative syntax
      
     //  code to show UI
    MessageBox.Show( " Showing FileRead UI " );
     //  This is excuted if only the Demand is successful.
}

我知道这是一个槽糕的例子,但是它已经足够了。

现在运行我们的代码。你会得到一个“Before calling demand”的消息,然后跳出一个自定义的错误对话框“security error”。哪里错了呢?看下面的图片:


【图11

我们已经禁止了InitUI方法的读的权限。所以当ShowFileReadUI请求对c盘的写的权限的时候,它检查堆栈的时候找到不是每个调用者都被允许这个demanded permission,显示一个异常。只需要注释在InitUI方法里面注释Deny statement, 它就可以工作了,因为所有的调用者都有demandedpermission

 

注意,根据文档,许多.NET Framework的类已经有了demands关联它。例如StreamReaderStreamReader自动需要FileIOPermission.所以用其他demand去替换它会导致一个堆栈的错误。

Link Demand

一个link demand只检查你的代码的直接调用者。那意味者它不会对堆栈起作用。当你的代码跳到一个典型的引用,包括函数指针引用和方法调用会发生link。一个link demand只能用申明的方式。

<!--<br /> <br /> Code highlighting produced by Actipro CodeHighlighter (freeware)<br /> http://www.CodeHighlighter.com/<br /> <br /> --> [FileIOPermission(SecurityAction.LinkDemand,Read = " C:\\ " )]
 private   void  MyMethod()
{
     //  Do Something 
}

Inheritance Demand

Inheritance Demand能过被类和方法应用。如果它用到一个类上,所有从它继承的类都具有它的permission

<!--<br /> <br /> Code highlighting produced by Actipro CodeHighlighter (freeware)<br /> http://www.CodeHighlighter.com/<br /> <br /> --> [SecurityPermission(SecurityAction.InheritanceDemand)]
 private   class  MyClass()
{
     //  what ever
}

如果它用到一个方法上,所有继承它的类必须制定permission去重写那个方法。


<!--<br /> <br /> Code highlighting produced by Actipro CodeHighlighter (freeware)<br /> http://www.CodeHighlighter.com/<br /> <br /> --> private   class  MyClass()
{
     public   class  MyClass() {}
    
    [SecurityPermission(SecurityAction.InheritanceDemand)]
     public   virtual   void  MyMethod()
    {
         //  Do something
    }
}

就像link demandinheritance demand也只能用声明的方式。

Requesting Permissions

想象一个场景。你给一个用户一个form其中包含有20多个field去填充,所有的信息必须保存在一个text文件中,用户填充了所有的信息,当他要保存的时候,他得到了一个信息,他没有足够的权限去创建一个文件。当然你可以试图沉静的告诉他为什么会发生这个,因为我们调用堆栈的时候...因为一个demand。。如果你足够幸运,你可以从microsoft那得到这个警示(相信我...有时他确实会发生)。

 

你在装载装配的时候请求permission的优先级是否比较容易呢?这里有3种方法去做他在CAS中。

  • RequestMinimum

  • RequestOptional

  • RequestRefuse

注意这些只能用声明的语法应用在装配的级别,而不是应用给方法或者是类。最棒的是管理员可以在装配之后查看请求的permissions,使用permview.exe你可以查看它所被赋予的permissions

RequestMinimum

你可以使用requestMinimum去指定permissions。代码只允许在所有permissions都被赋予的时候才能够跑。在下面的代码片段中,有一个请求去写注册表的请求。如果这个没有被安全机制赋予权限,这个装配甚至不会被装载。就像之前提到的,这种请求能够在装载的时候完成。

<!--<br /> <br /> Code highlighting produced by Actipro CodeHighlighter (freeware)<br /> http://www.CodeHighlighter.com/<br /> <br /> --> using  System;
 using  System.Windows.Forms;
 using  System.IO;

 using  System.Security;
 using  System.Security.Permissions;

 //  placed in assembly level
 //  using declarative syntax
[assembly:RegistryPermission(SecurityAction.RequestMinimum, 
         Write = " HKEY_LOCAL_MACHINE\\Software " )]

 namespace  SecurityApp
{
     //  Rest of the implementation
}

RequestOptional

使用RequestOptional,你能指定你的代码所需要的permissions,而不是跑的时候才请求。如果你的代码没有被赋予optional permissions,你必须处理代码片段在执行时需要optional permissions而抛出的异常。这里有一些在使用requestOptional时必须注意的事情

如果你使用RequestOptionalRequestMinimum,除了他们两再没有其他的permissions将被赋予,如果被安全机制所允许。尽管安全机制允许添加permissions到你的装配集,他们将不会被赋予。看下面的代码片段:

[assembly:FileIOPermission(SecurityAction.RequestMinimum, Read="C:\\")]

[assembly:FileIOPermission(SecurityAction.RequestOptional, Write="C:\\")]

这个装配集的permissions只是对文件系统的读和写。是否还需要显示UI?然后这个装配集被装载,但是一个异常被抛出,当显示UI的代码被执行的时候,因为尽管安全机制允许UIPermission,但是它没有被装配集允许。

RequestRefuse

你可以使用RequestRefuse去指定你确定不需要被赋予的permissions在你的代码中,即使他们已经被安全机制赋予了,然后拒绝写的permission将保证你的代码不会被滥用

[assembly:FileIOPermission(SecurityAction.RequestRefuse, Write="C:\\")]






eteran
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cas服务端和客户端可用代码
03-26
ST是为特定服务生成的一次性使用的凭据,用于验证用户是否已通过CAS身份验证。 4. **自定义认证**:这里的代码可能包含对MySQL数据库的自定义查询,以实现用户身份验证。开发者可以根据实际需求定制认证逻辑,如...
cas 前后端代码demo,学习使用
05-16
5. **应用场景**:CAS广泛应用于多应用环境,如高校校园网、企业内部系统等,可以统一管理用户身份,减少用户记忆多套账号密码的困扰,同时简化安全管理,提升安全性。 6. **学习路径**:首先,你需要了解基础的...
CAS安全性介绍
02-01 4716
  CAS安全性是一个非常重要的 Topic 。 CAS 从 v1 到 v3 ,都很依赖于 SSL ,它假定了这样一个事实,用户在一个非常不安全的网络环境中使用 SSO , Hacker 的 Sniffer 会很容易抓住所有的 Http Traffic ,包括通过 Http 传送的密码甚至 Ticket 票据。 TGC/PGT 安全性        对于一个 CAS 用户来说,最重要是
CAS 代码访问安全性 (翻译)
eteran的专栏
10-27 188
前言: 用vs2005 + vsto 开发一个outlook的addin的时候,碰到了一个问题,在我机器上运行的好好的程序,用vs自己的打包安装程序安装到别的机器的时候总是显示 not load, 加载程序的时候出错。google了一下,遇到了一个新名词, CAS: code access security. 找不到相关的中文文档。在codeproject上看到了这篇文章。文章比较长,有codep...
.NET安全系列之一:代码访问安全(CAS
pp_zz的专栏
05-24 1348
http://www.cnblogs.com/lsxqw2004/archive/2009/01/20/1378665.html从这篇文章起总结一下.NET平台中安全相关问题,将分4篇文章介绍,目录如下: .NET安全系列之一:代码访问安全(CAS)     这一部分重点介绍CASCAS技术允许我们通过验证源代码的方式衡量一个程序集的受信任程度,并确保其没有被篡改。 .NET安全系列之:独立存储区相关知识 .NET安全系列之三:Windows与.NET中用户及角色与资源访问控制     这一部分讨论如何
CAS安全介绍
Edwin’s Blog
06-26 1492
<br />CAS安全性是一个非常重要的Topic。CAS从v1到v3,都很依赖于SSL,它假定了这样一个事实,用户在一 个非常不安全的网络环境中使用SSO,Hacker的Sniffer会很容易抓住所有的Http Traffic,包括通过Http传送的密码甚至Ticket票据。<br />TGC/PGT 安全性        对于一个 CAS 用户来说,最重要是要保护它的 TGC ,如果 TGC 不慎被 CAS Server 以外的实体获得, Hacker 能够找到该 TGC ,然后冒充
【Java并发编程】CAS详解和并发安全问题
最新发布
持续学习,坚持原创,分享技术笔记及经验。
07-18 301
CAS详解和学透面试必问并发安全问题
cas.rar_cas java_cas服务端代码_单点登录
09-14
单点登录允许用户在访问多个相互信任的应用系统时只需要进行一次登录,提高了用户体验并增强了安全性。这个“cas.rar”压缩包包含的应该是CAS服务器端的源代码,用于帮助开发者理解或构建自己的CAS服务器。 1. CAS...
cas客户端集成单点登录代码
07-31
通过遵循这些步骤,你可以成功地将CAS客户端集成到你的应用中,实现单点登录功能,提高系统的安全性,并为用户提供更加便捷的登录体验。记住,每个项目都有其独特的需求,因此在实际操作中,你可能需要对这些通用...
Spring Security整合CAS的示例代码
08-27
nt.validation.Cas20ServiceTicketValidator"> ${cas.server.url}"/> </bean> <bean id="authenticationFilter" class="org.jasig....在实际操作中,务必测试所有组件以确保其正常工作,并遵循最佳实践来增强安全性
持续应用安全(CAS)研讨之:Fuzzing
m0_73736695的博客
12-07 152
持续应用安全(CAS)研讨之:Fuzzing
使用Element-UI中的el-cascader 实现可以任意选择一项,以及遇到的坑
m0_61317636的博客
08-03 5634
现在我们要求可以选择任意一项,查阅官方文档 发现 使用 就可以达到我们的效果,但是 注意重点来了...至于原因 大家可以看这个 (13条消息) elementUi Cascader 级联选择器如何选择任意一级,以及所遇到的问题_WhiteSean的博客-CSDN博客_elementui级联选加载一级上边介绍的方法并没有什么卵用,大家只参考原因就行了,方便大家发散思维。既然知道了原因那么解决起来也是事半功倍看一下代码: 最主要的就是上边三句代码,那这三句怎么实现即要隐藏单选框又要把选择器收起呢,
乐观锁、悲观锁,这一篇就够了!
weixin_33762321的博客
10-08 300
1. 乐观锁 乐观锁顾名思义就是在操作时很乐观,认为操作不会产生并发问题(不会有其他线程对数据进行修改),因此不会上锁。但是在更新时会判断其他线程在这之前有没有对数据进行修改,一般会使用版本号机制或CAS(compare and swap)算法实现。简单理解:这里的数据,别想太多,你尽管用,出问题了算我怂,即操作失败后事务回滚、提示。 1...
急需求解
08-01 651
急需求解[EnvironmentPermissionAttribute(SecurityAction.LinkjDemand,Unrestricted=true)]放在一个方法之前有何作用?大家帮帮忙!
cas连接报错,ACTION: AUTHENTICATION_FAILED
striveb的博客
12-07 5103
cas的deployerConfigContext.xml这个文件里面增加了连接数据库的bean,然后发现数据库里面的用户名登不上去,看Tomcat又没什么报错。。如下图: 首先,考虑 deployerConfigContext.xml里面配的连接数据库的bean,要在配置文件的上面修改一下: 2.考虑可能是远程数据库拒绝访问,这个时候就要改你远程数据库了。参考这个: https:/...
Spring Security出现问题:Access is denied 及我的解决方案
热门推荐
txd2016_5_11的博客
01-24 6万+
近日使用spring security,xml文件如下: ...... <!-- 页面拦截规则 --> <http pattern="/shoplogin.html" security="none"></http> <http pattern="/loginerror.html" security="none"></http> ...
简单的问题有时也要技巧:“尝试打开文件夹时出现“Access is Denied”(拒绝访问)错误信息”
richardbigzhou的专栏
12-29 9040
简单的问题有时也要技巧,谷歌、百度都搜索了没有,360上也找了,都不对题。想起微软了,果然解决了。微软!想说爱你还真不容易。 摘自微软技术支持网站:http://support.microsoft.com/kb/810881/zh-cn 症状:当您尝试在 Microsoft Windows XP 中打开文件夹时,可能会收到以下错误信息,其中 Folder 是您无法打开的文件夹的
.NET 指南:Demand VS LinkDemand
weixin_34293141的博客
02-10 178
安全声明提供了两种类似的安全检查来完成不同的任务。你应该理解这两种形式,因为错误的选择能够削弱安全性或者损失性能。关于更多信息,请参考:[安全要求]。安全声明提供了下列安全检查:Demand 指定了代码访问安全堆栈通道。堆栈的所有调用者都必须拥有被指定的许可或者要通过的身份。Demand 在每个调用的时候都会产生,因为堆栈可能包含了不同的调用者。如果你重复地调用同一个方法,那么在每次调用期间都会产...
".NET平台安全技术系列:CAS代码访问安全
第一部分是.NET安全系列的第一篇文章,重点介绍了代码访问安全(CAS)的重要性,以及CAS技术是如何通过验证源代码的方式衡量程序集的受信任程度,并确保其没有被篡改的。第部分讨论了独立存储区相关知识,第三部分...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值