熱點推薦:
您现在的位置: 電腦知識網 >> 編程 >> .NET編程 >> 正文

ASP.NET應用程序結構及安全規劃[3]

2013-11-13 10:47:34  來源: .NET編程 

  安全規劃

  Microsoft 有一個關於安全性與軟件這一主題的歌訣Secure by design secure by default and secure by deployment(設計安全默認安全和部署安全)在安全中設計期待系統在默認情況下是安全的以及創建可以在安全環境中成功部署的解決方案安全始終是重要的既然越來越多的軟件要在公用的 Internet 上生存編寫安全的軟件就更加關鍵對於我們而言幸運的是NET 運行時和 Windows 操作系統提供廣泛的安全選項和功能我們可以輕松地將其包含在我們的應用程序中無需過分注重標識和消除聯機解決方案中安全漏洞的細節我們可以指出其中一些最常見的漏洞並指出我們的應用程序規劃如何進行處理

  注意有關可用選項的詳細信息請參閱 Microsoft Security Developer Center

  緩沖區溢出

  這可能是已編譯應用程序中最常見的安全漏洞由於我們將使用 NET 運行時而它是設計用來在內存中安全運行的因此不太可能發生緩沖區溢出此外我們使用 Microsoft Visual Basic? NET 對解決方案進行編碼而 Microsoft Visual Basic? NET 不像 C 或 C++ 那樣容易受到緩沖區溢出問題的影響但是即使我們打算用 C++ 創建組件我們還可以使用編譯程序的特殊功能GS 轉換來保護我們免受大多數緩沖區溢出的攻擊

  數據庫攻擊

  另一種常見的安全漏洞可能會使惡意用戶獲得訪問存儲在數據庫中的原始數據的權限為了防止黑客獲得數據的控制權我們僅使用 SQL Server 存儲過程而不使用內聯查詢這樣可以大大減少試圖在輸入流中插入其他 SQL 命令的攻擊我們還在程序中多個位置處使用輸入驗證以確保所有輸入僅包含有效的字符

  交叉站點腳本攻擊

  對 Web 應用程序進行的常見攻擊還有一種它涉及到用戶在輸入流中添加客戶方腳本這類攻擊將執行附加的對話並誘騙用戶將個人數據發送到黑客自己的 Web 站點要解決這個問題我們使用 ASPNET 的一個新功能過濾出這種惡意代碼的所有輸入防止將它置入系統中顯示屏幕上還包含附加代碼它將自動禁用任何腳本或顯示可能會插入到數據存儲中的標記

  至此我們已獲得了應用程序的邏輯模型和物理模型以及確保實現方案包含的安全功能清單擁有了這些以及目標聲明和用戶方案我們可以開始這次編碼前探險的最後一部分了

[]  []  []  


From:http://tw.wingwit.com/Article/program/net/201311/14513.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.