写Web开发时,很多时候会忽略到安全性问题。
以个人在实施工程时比较多用到的安全技术作为探讨吧。
1.SQL injection
这个已经是老话题了。但在很多时候自己写程序的时候也会偶而出现这样的问题。因为这样的注入式攻击在一个程序中是可以说潜在的可能性是随项目工程的越大而越多的。
解决的方法是:
严格的控制用户的输入,对数据的进行严格的控制。其中包括有用户字符输入,数据表单的验证及防止刻意的篡改参数。
如:多用ADO.net的API。存储过程等。
2.跨站脚本执行
把用户提交的HTML标签转换为HtmlEncode。
如:Label1.Text=Server.HtmlEncode(feedback.Text)
这样可以把像<script></script>这样的脚本给确保替换。
3.__VIEWSTATE
对于ASP.net来说,__VIEWSTATE是记录页面的数据信息的。这程数据是用Base64加密的。我们需要对它进行严格的验证。
解决方法:
修改Web.config:
<pages buffer="true" enableSessionState="true" enableViewState="true" enableViewStateMac="true" autoEventWireup="true" validateRequest="true"></pages>
和
<machineKey validationKey="AutoGenerate" decryptionKey="AutoGenerate,IsolateApps" validation="SHA1" />
4.验证
对于身份验证和目录安全严格验证。
如:用Web.config的Form验证。对目录、身份、操作权限等严格控制。
5.错误处理
禁止在程序错误时返回给用户程序内容等敏感信息。
如:在Web.config中把<customErrors>修改为
<customErrors mode="On" defaultRedirect="Error.htm"/>
6.Web service
禁用没用的Web service。禁止自动生成WSDL
==============
以上只是对单个Web application的安全做简单的设置。如需配置一个完好的环境所涉及更多更广。
具体的安全配置参考文献:
http://www.microsoft.com/china/technet/security/guidance/secmod92.mspx