收藏
下载资源

开发安全的Web应用案例分析

上传人:油条 文档编号:51254637 上传时间:2018-08-13 格式:PPT 页数:23 大小:1.91MB
返回 下载 相关 举报
开发安全的Web应用案例分析_第1页
第1页 / 共23页
开发安全的Web应用案例分析_第2页
第2页 / 共23页
开发安全的Web应用案例分析_第3页
第3页 / 共23页
开发安全的Web应用案例分析_第4页
第4页 / 共23页
开发安全的Web应用案例分析_第5页
第5页 / 共23页
点击查看更多>>
资源描述

《开发安全的Web应用案例分析》由会员分享,可在线阅读,更多相关《开发安全的Web应用案例分析(23页珍藏版)》请在金锄头文库上搜索。

1、 开发安全的Web应用案例分析 Name Title Microsoft日程安排 Microsoft Reference Application for OpenHack (MRAO)速览系统架构 应用系统的安全性Forms认证输入项的有效性验证数据访问数据保护错误处理及日誌什么是OpenHack? 由 eWEEK资助的安全性竞赛( Oct. 22 to Nov. 8, 2002 ) 谁能构建最安全的抵御黑客攻击的Web应用参赛者搭建符合eWEEK规范的Web应用eWEEK邀请所有的志愿者来攻击该网站 2002年参赛者: Microsoft, Oracle等ihttp:/ Reference

2、Application for OpenHack Microsoft从 2002年起参与竞赛 抵御了80,000+以上的攻击而没有丝毫的安全性漏洞 该应用由Vertigo Software和 Microsoft编写自比赛以来代码已得到了更新可以从网上得到最新的版本 如何构建安全应用的最佳范例速览应用架构Awards DatabaseASP.NET信息确认层数据访问层数据保护层IISPublicRegistryDPAPI匿名访问Forms认证 URL 认证信任连接Windows 认证Decryption keysConnection strings etc.PrivateSQL许可Forms认证

3、 Two-tiered 目录结构根目录包含 “public” 页面 (包括login page)“Secure” 子目录包含了需要登陆的所有页面 Forms 认证 cookie永远使用临时cookie,而不使用永久cookie30-minute time-out设置Cookie path 到应用系统的根目录Forms 认证输入有效性确认(Input Validation) 客户端用户输入均由 validation controls确认 服务器端输入和输出均由 validation layer进行清洗PagesAll Input清洗Other InputValidation ControlsUs

4、er InputOutputHTML- EncodeCleanStringInput ValidationAwards 数据结构Awards 数据安全 用户用户: webuser (Windows principal)映射该用户为 ASP.NET 工作用户 存储过程30 stored proceduresUsed for all interaction with database 用户许可用户webuser允许调用所有的存储过程“public”用户没有分配任何权限数据访问(Data Access) 多级数据访问层 所有访问均使用存储过程 所有访问均有用户webuser执行 采用Windows信

5、任认证方式建立SQL Server连接 数据库联接串采用 DPAPI进行加密并保存于 ACLed registry key中数据访问策略Awards Database数据访问层Pages业务逻辑层业务逻辑层CompanyInfoCreditCardInfoProductInfoStatesInfoUserInfoDbHelperSqlHelper安全的数据访问数据保护(Data Protection) Registry安全HKLMSoftwareMicrosoftOpenHack4DPAPI加密的数据库联接串DPAPI加密的crypto 解码匙DPAPI加密的crypto初始化向量( init

6、ialization vector IV)DPAPI entropy valueACL 授权admins and SYSTEM帐号完全控制权限, 而对ASP.NET worker process赋予只读权限 Database安全用户密码的加密保存信用卡号的加密保存数据保护策略CryptUtilPagesDataProtectionNativeMethodsDPAPI数据保护层注册表(Registry)业务逻辑错误处理及日誌 默认的错误页面默认错误被定向到 Error.aspx提供对错误的普通处理 应用系统级Error未经处理的例外将被写入Windows event日誌其中包括了stack tr

7、ace 和其他丰富的错误信息 错误登陆在 Windows event日志中记录登陆信息有助于诊断分析和入侵检测错误处理和日誌总结 MRAO 清洗和输入确认 MRAO 安全数据访问 MRAO 加密敏感信息 MRAO 使用forms认证和URL授权 MRAO 安全的处理错误以及适当的日誌 MRAO 是一个安全的应用!附加资源Improving Web Application SecurityBuilding Secure ASP.NET Applicationshttp:/ /library/en-us/dnnetsec/html/threatcounter.asphttp:/ /library/en-us/dnnetsec/html/secnetlpmsdn.asp 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号