返回
使用ASPNET技术构建安全网站

使用ASPNET技术构建安全网站

ID:39573809

大小:76.50 KB

页数:5页

时间:2019-07-06

使用ASPNET技术构建安全网站_第1页
使用ASPNET技术构建安全网站_第2页
使用ASPNET技术构建安全网站_第3页
使用ASPNET技术构建安全网站_第4页
使用ASPNET技术构建安全网站_第5页
资源描述:

《使用ASPNET技术构建安全网站》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、使用Asp.Net构建安全网站张德强(成都房地产信息中心,四川成都610015)摘 要 Asp.Net技术被广泛应用,该技术的安全性越来越受到人们重视。本文介绍黑客对Asp.Net系统的攻击手段以及如何采用Asp.Net技术来避免这些安全漏洞,从而构建安全性的网站系统。关键字 Asp.Net;安全漏洞;对策SecureWebSitesStructuredbyAsp.NetZHANGDe-qiang(ChengduRealEstateinformationcenter,ChengduSichuan610015,P,R.China)Abstract:TheAsp.Nettechnologyha

2、sbeenwidelyused,thetechnologysecurityismoreandmoreimportanttopeople.ThispaperintroducedhowthehackerattackstotheAsp.Netsystem,aswellashowtoavoidthesesecurityvulnerabilitybyhigh-devloppingasp.nettechnologyandhowtoconstructthesecurewebsitesystem.Keywords:Asp.Net;securityvulnerability;countermeasures1

3、引言Asp.Net又叫ASP+,他不是ASP的简单升级,而是Microsoft推出的新一代ActiveServerPages。ASP.Net是建立在微软新一代.Net平台架构上,利用普通语言运行时(CommonLanguageRuntime)在服务器后端为用户提供建立强大的企业级Web应用服务的编程框架。广泛的用在B/S架构的系统构建上。该项技术被国内越来越多的网站所采用。Asp.Net的安全性逐渐被重视起来。原因很简单,一个安全性的漏洞会对一个网站带来毁灭性的灾难,对网站经营者带来非常严重的损失。保证应用程序的安全,避免安全漏洞应当从编写第一行代码的时候开始做起,这是因为随着应用规模的发

4、展,修补安全漏洞所需的代价也随之快速增长。惠普、IBM、休斯飞机公司、TRW以及其他组织的研究人员发现,在构建活动开始之前清除一个错误,那么返工的成本仅仅是“在开发过程的最后阶段(在系统测试期间或者发布之后)做同样事情”的十分之一到百分之一。掌握常见的安全漏洞对开发一个系统来说非常必要,利用这些知识点可以用非常低的成本构建安全的网站系统。2常见安全漏洞大多数Web应用程序攻击都要在HTTP请求中传递恶意输入项。一般这种攻击并非强迫应用程序执行未经授权的操作,而是要中断应用程序的正常操作。Asp.Net网站系统常见的威胁有代码注入、信息泄漏和身份盗用等。 2.1代码注入代码注入是最常见的一种

5、安全漏洞,也是最容易受到攻击的,因为攻击者不需要掌握太多的专业知识就可以对这些漏洞进行攻击。对系统的威胁也非常大。代码注入攻击主要包括SQL注入、跨站点脚本和缓冲区溢出三种:SQL注入(SQLinjection):根据用户的输入值来动态构造SQL语句,该构造语句很可能就是攻击性的有害SQL语句。即攻击者可发送SQL输入来更改数据库中的预期查询或执行全新的查询。表单身份验证登录页是常见的攻击对象,因为查询用户存储所使用的是用户名和密码。跨站点脚本(Cross-siteScripting):将恶意脚本作为输入项发送到Web应用程序。一旦执行,结果将回应至用户浏览器。缓冲区溢出(BufferOv

6、erflow):虽然托管代码的类型安全验证可大大降低风险,但应用程序依然存在安全漏洞,特别是调用非托管代码时。缓冲区溢出使攻击者可利用Web应用程序的安全上下文在Web应用程序进程中执行任意代码。这里我们要特别搞清楚一个概论,传输加密技术不能用来防御注入攻击。注入攻击可通过使用HTTP或HTTPSSecureSocketLayer(SSL)连接发送请求。收到信息的服务器会认为该信息是合法的输入。 2.2信息泄漏信息泄漏主要涉及把一些服务器出错信息完全透露给请求者和隐藏域信息被攻击者使用等。攻击者往往通过探测Web页来找寻引起异常的各种情况,异常细节信息常以HTML的形式返回并显示在浏览器中

7、。这可能会泄漏很有用的信息,如堆栈跟踪。堆栈跟踪包含数据库连接字符串、数据库名、数据库方案信息、SQL语句以及操作系统和平台版本。攻击者利用这些信息很容易找到攻击的方法。 2.3身份盗用恶意用户盗用合法用户的身份访问网站系统,主要包括身份验证Cookie未加密的保存在客户端,系统中用户使用了弱密码等。攻击者采用这些信息以合法的用户身份登录系统。3预防措施知道了攻击者怎么攻击Asp.Net网站系统,系统在编写第一句代码的时

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。