ASP.NET Web應(yīng)用程序的安全解決方案淺析

2024-07-10 12:38:20

字體：大中小

供稿：網(wǎng)友

一、ASP.NET Web應(yīng)用程序架構(gòu)安全隱患
1. 對于程序集主要威脅：未驗(yàn)證的訪問、反向工程、代碼注入、通過異常獲得程序信息、未審核訪問。
2. 客戶端與Web應(yīng)用程序之間的安全隱患：代碼注入（跨站點(diǎn)腳本或緩沖區(qū)溢出攻擊）、網(wǎng)絡(luò)監(jiān)控（密碼和敏感應(yīng)用程序數(shù)據(jù)探測）、參數(shù)破解（表單字段、查詢字符串、Cookie、視圖狀態(tài)、HTTP頭信息）、會話狀態(tài)變量ID取得、信息獲取（通常使用異常）。
3. Web應(yīng)用程序客戶端與企業(yè)服務(wù)之間的安全隱患：非審核訪問、破解配置數(shù)據(jù)、網(wǎng)絡(luò)監(jiān)視、未約束代理、數(shù)據(jù)復(fù)制。
4. Web服務(wù)客戶端及其服務(wù)之間的安全隱患：非審核訪問、參數(shù)破解、配置數(shù)據(jù)取得、網(wǎng)絡(luò)監(jiān)、消息回復(fù)。
5. Remoting客戶端及服務(wù)器之間的安全隱患：非審核訪問、參數(shù)破解、序列化、網(wǎng)絡(luò)監(jiān)控。
6. 客戶端到數(shù)據(jù)之間的安全隱患：非審核訪問、SQL注入、破解數(shù)據(jù)模型和鏈接詳細(xì)信息、網(wǎng)絡(luò)監(jiān)控、破解配置數(shù)據(jù)、破解面干應(yīng)用程序數(shù)據(jù)。

* ASP.NET安全架構(gòu)注意事項(xiàng)
1. 在瀏覽器認(rèn)證用戶；
2. 在瀏覽器和防火墻通路中1)保護(hù)敏感數(shù)據(jù)2)阻止參數(shù)破解3)阻止會話攻擊和Cookie回復(fù)攻擊
3. 在Web應(yīng)用程序側(cè)1)提供安全配置2)處理異常3)審核用戶4)驗(yàn)證輸入
4. 應(yīng)用程序服務(wù)器1)認(rèn)證和審核上傳身份2)審核并記錄活動和事務(wù)
5. 在應(yīng)用程序服務(wù)器和數(shù)據(jù)庫間保護(hù)敏感數(shù)據(jù)
6. 數(shù)據(jù)庫中加密或者哈希加密敏感數(shù)據(jù)
二、ASP.NET Web應(yīng)用程序安全性隱患防治辦法
1. 防止跨站點(diǎn)腳本攻擊（Cross-Site Scripting Attack）
攻擊方法：在頁面通過輸入腳本或HTML內(nèi)容獲取敏感數(shù)據(jù)。
威脅指數(shù)：6
攻擊結(jié)果：應(yīng)用程序拒絕服務(wù)或重啟，獲得錯誤堆棧信息（※）推測代碼進(jìn)行下一步攻擊。
※注：在ASP.NET配置文件中如果未關(guān)閉CustomErrors則可能導(dǎo)致在出現(xiàn)系統(tǒng)異常時顯示錯誤行代碼或數(shù)據(jù)庫連接字符串，泄漏配置數(shù)據(jù)，造成危險隱患。
預(yù)防措施：ASP.NET控件驗(yàn)證或服務(wù)器端輸入驗(yàn)證。
采用客戶端驗(yàn)證和服務(wù)器端驗(yàn)證結(jié)合的方式對用戶輸入進(jìn)行驗(yàn)證，通過比較控件輸入和其HTML譯碼值的一致性確認(rèn)輸入字符串中是否含有HTML特殊符號，以此作為依據(jù)轉(zhuǎn)化HTML特殊符號，防止腳本在回發(fā)表示時觸發(fā)。

2. 防止SQL注入攻擊（SQL Injection Attack）
攻擊方法：通過畫面輸入或URL參數(shù)修改，利用其作為SQL查詢條件的特殊性，將輸入SQL文注入并返回結(jié)果的攻擊。
威脅指數(shù)：9
攻擊結(jié)果：可查詢敏感數(shù)據(jù)并可修改系統(tǒng)數(shù)據(jù)。
預(yù)防措施：在數(shù)據(jù)更新和查詢時使用數(shù)據(jù)庫參數(shù)對象或使用自定義方法轉(zhuǎn)換輸入?yún)?shù)，以使注入SQL文失效。
3. 驗(yàn)證用戶輸入
通過客戶端驗(yàn)證為主、服務(wù)器端驗(yàn)證為輔（當(dāng)禁用客戶端Javascript時服務(wù)器端驗(yàn)證就尤為重要）

上一篇：asp.net+jquery Gridview的多行拖放，以及跨控件拖放

下一篇：asp.net(c#)網(wǎng)頁跳轉(zhuǎn)七種方法小結(jié)