程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> .NET網頁編程 >> ASP.NET >> 關於ASP.NET >> 利用ASP.NET的內置功能抵御Web攻擊

利用ASP.NET的內置功能抵御Web攻擊

編輯:關於ASP.NET

ASP.NET 開發人員應當始終堅持的做法

如果您正在閱讀本文,可能就不需要再向您灌輸 Web 應用程序中的安全性愈來愈重要這一事實了。您需要的可能是一些有關如何在 ASP.NET 應用程序中實現安全性的實際建議。壞消息是,沒有任何開發平台 — 包括 ASP.NET在內 — 能夠保證一旦采用了該平台,您就能夠編寫百分百安全的代碼。誰要是這麼說,一准在撒謊。好消息是,就 ASP.NET 來說,ASP.NET,特別是版本 1.1 和即將發行的版本 2.0,集成了一些便於使用的內置防御屏障。

光是應用所有這些功能並不足以保護 Web 應用程序,使其免受任何可能和可預見的攻擊。但是,如果與其他防御技巧和安全策略相結合,內置的ASP.NET 功能將可以構成一個強大的工具包,有助於確保應用程序在安全的環境中運行。

Web 安全性是各種因素的總和,是一種范圍遠超單個應用程序的策略的結果,這種策略涉及數據庫管理、網路配置,以及社會工程和 phishing。

本文的目的在於說明 ASP.NET 開發人員為了將安全標准保持到合理的高度,所應始終堅持的做法。這也就是安全性最主要的內容:保持警惕,永不完全放松,讓壞人越來越難以發起黑客攻擊。

下面我們來看看 ASP.NET 提供了哪些可以簡化這項工作的功能。

返回頁首

威脅的來源

在表 1 中,我匯總了最常見的Web 攻擊類型,以及應用程序中可能導致這些攻擊得手的缺陷。

攻擊 攻擊的可能發起人

跨站點腳本 (XSS)

回顯到頁的不可信用戶輸入

SQL 注入

串連用戶輸入以形成 SQL 命令

會話劫持

會話 ID 猜測和失竊的會話 ID Cookie

一次單擊

通過腳本發送的未被察覺的HTTP 張貼

隱藏域篡改

未檢查(且受信)的隱藏域被填充以敏感數據

表 1. 常見的Web 攻擊

列表中顯現出來的關鍵性事實有哪些?在我看來,起碼有以下三點:

• 無論您何時將何種用戶輸入插入浏覽器的標記中,您都潛在地將自己暴露在了代碼注入攻擊(任何 SQL 注入和 XSS 變種)之下。

• 必須以安全的方式實現數據庫訪問,就是說,應當為數據庫使用盡可能少的權限,並通過角色來劃分各個用戶的職責。

• 永遠都不通過網絡發送敏感數據(更別說是明文了),並且必須以安全的方式將敏感數據存儲在服務器上。

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved