ASP.NET Web应用程序的安全解决方案浅析

2020-04-24 22:13:23

字体：大中小

来源：转载

供稿：网友

一、ASP.NET Web应用程序架构安全隐患
1. 对于程序集主要威胁：未验证的访问、反向工程、代码注入、通过异常获得程序信息、未审核访问。
2. 客户端与Web应用程序之间的安全隐患：代码注入（跨站点脚本或缓冲区溢出攻击）、网络监控（密码和敏感应用程序数据探测）、参数破解（表单字段、查询字符串、Cookie、视图状态、HTTP头信息）、会话状态变量ID取得、信息获取（通常使用异常）。
3. Web应用程序客户端与企业服务之间的安全隐患：非审核访问、破解配置数据、网络监视、未约束代理、数据复制。
4. Web服务客户端及其服务之间的安全隐患：非审核访问、参数破解、配置数据取得、网络监、消息回复。
5. Remoting客户端及服务器之间的安全隐患：非审核访问、参数破解、序列化、网络监控。
6. 客户端到数据之间的安全隐患：非审核访问、SQL注入、破解数据模型和链接详细信息、网络监控、破解配置数据、破解面干应用程序数据。

* ASP.NET安全架构注意事项
1. 在浏览器认证用户；
2. 在浏览器和防火墙通路中1)保护敏感数据2)阻止参数破解3)阻止会话攻击和Cookie回复攻击
3. 在Web应用程序侧1)提供安全配置2)处理异常3)审核用户4)验证输入
4. 应用程序服务器1)认证和审核上传身份2)审核并记录活动和事务
5. 在应用程序服务器和数据库间保护敏感数据
6. 数据库中加密或者哈希加密敏感数据
二、ASP.NET Web应用程序安全性隐患防治办法
1. 防止跨站点脚本攻击（Cross-Site Scripting Attack）
攻击方法：在页面通过输入脚本或HTML内容获取敏感数据。
威胁指数：6
攻击结果：应用程序拒绝服务或重启，获得错误堆栈信息（※）推测代码进行下一步攻击。
※注：在ASP.NET配置文件中如果未关闭CustomErrors则可能导致在出现系统异常时显示错误行代码或数据库连接字符串，泄漏配置数据，造成危险隐患。
预防措施：ASP.NET控件验证或服务器端输入验证。
采用客户端验证和服务器端验证结合的方式对用户输入进行验证，通过比较控件输入和其HTML译码值的一致性确认输入字符串中是否含有HTML特殊符号，以此作为依据转化HTML特殊符号，防止脚本在回发表示时触发。

2. 防止SQL注入攻击（SQL Injection Attack）
攻击方法：通过画面输入或URL参数修改，利用其作为SQL查询条件的特殊性，将输入SQL文注入并返回结果的攻击。
威胁指数：9
攻击结果：可查询敏感数据并可修改系统数据。
预防措施：在数据更新和查询时使用数据库参数对象或使用自定义方法转换输入参数，以使注入SQL文失效。
3. 验证用户输入
通过客户端验证为主、服务器端验证为辅（当禁用客户端Javascript时服务器端验证就尤为重要）

上一篇：asp.net(c#)网页跳转七种方法小结

下一篇：asp.net+jquery Gridview的多行拖放，以及跨控件拖放