《第46讲Web应用程序的安全性》由会员分享,可在线阅读,更多相关《第46讲Web应用程序的安全性(8页珍藏版)》请在金锄头文库上搜索。
1、第四十六讲:Web应用程序的安全性,讲师:周红安 E-mail:,随着互联网经济和文化的不断兴起,保证Web应用程序的安全性,越来越重要。在Web开发中,保证安全性对于一些特定的行业来说,占据了举足轻重的地位。例如网上银行、在线办公、电子邮件、管理私密文件的信息系统等。,保障安全都有哪些措施,保障应用程序的安全性,有着相当重要的意义。下面的列出了适用于所有Web应用程序应当遵循的最低安全性准则: 经常对程序进行备份,并将备份存放在安全的场所。 将Web服务器放置在安全的场所。 尽量使用Windows NTFS文件系统,避免使用FAT32格式。 使用复杂的字符组合密码。 关闭不使用的端口和服务。
2、 运行监视入站和出站通信的病毒检查程序。 使用防火墙。 定期安装操作系统或其他应用软件供应商提供的最新安全补丁程序。 使用操作系统事件日志记录,并且经常检查这些日志,以查找可疑活动。例如:查看反复尝试登录系统及向Web服务器发出数量巨大的请求。,作为Web应用程序的管理员或者开发者,决对不能假定用户输入的信息都是安全的。 对恶意用户来说,从客户端向应用程序发送潜在危险的信息是很容易的,例如SQL的注入式攻击。还有程序自身的有一些没有被检查出来的潜在错误,也可能成为攻击下手的对象。若要防止恶意输入,请遵循以下原则:,在ASP.NET网页中,要筛选用户输的数据,以查找是否含有可能危害应用程的脚本。
3、 不要回显未经筛选信息。在显示不受信任的信息之前,对HTML进行编码检查,因为它有可能存在潜在有害的脚本,最好把这些脚本转换为字符显示出来,就可以阻止它的执行。 不要可将未经筛选的信息存储在数据库中。 如果要接受来自用户提交的一些HTML程序,则手动进行筛选,也可以用程序判断,根据内容决定是事过滤它。 不要将敏感信息,例如隐藏域或者Cookie存储在可从浏览器访问的位置。更不要将密码存储在Cookie中。,配置Web应用程序的身份验证类型,通过配置Web.config文件,应用程序可以实现身份类型验证。 在Web应用程序中,IIS提供了5种身份验证机制:基本身份验证、简要身份验证、集成windows身份验证、证书身份验证、匿名身份验证。,集成Windows身份验证,所谓集成Windows身份验证,就是在访问某一网络或本地主机的时候,Windows的用户名和密码要是与被查看的主机所需要的用户名和密码相同,就可以直接访问,否则,需要手工输入用户名和密码后才能访问。如下图所示。,天道酬勤,有耕耘就会有收获,祝读者们学习愉快,
