无为清净楼资源网 Design By www.qnjia.com
一、ASP.NET Web应用程序架构安全隐患
1. 对于程序集主要威胁:未验证的访问、反向工程、代码注入、通过异常获得程序信息、未审核访问。
2. 客户端与Web应用程序之间的安全隐患:代码注入(跨站点脚本或缓冲区溢出攻击)、网络监控(密码和敏感应用程序数据探测)、参数破解(表单字段、查询字符串、Cookie、视图状态、HTTP头信息)、会话状态变量ID取得、信息获取(通常使用异常)。
3. Web应用程序客户端与企业服务之间的安全隐患:非审核访问、破解配置数据、网络监视、未约束代理、数据复制。
4. Web服务客户端及其服务之间的安全隐患:非审核访问、参数破解、配置数据取得、网络监、消息回复。
5. Remoting客户端及服务器之间的安全隐患:非审核访问、参数破解、序列化、网络监控。
6. 客户端到数据之间的安全隐患:非审核访问、SQL注入、破解数据模型和链接详细信息、网络监控、破解配置数据、破解面干应用程序数据。

* ASP.NET安全架构注意事项
1. 在浏览器认证用户;
2. 在浏览器和防火墙通路中1)保护敏感数据2)阻止参数破解3)阻止会话攻击和Cookie回复攻击
3. 在Web应用程序侧1)提供安全配置2)处理异常3)审核用户4)验证输入
4. 应用程序服务器1)认证和审核上传身份2)审核并记录活动和事务
5. 在应用程序服务器和数据库间保护敏感数据
6. 数据库中加密或者哈希加密敏感数据
二、ASP.NET Web应用程序安全性隐患防治办法
1. 防止跨站点脚本攻击(Cross-Site Scripting Attack)
攻击方法:在页面通过输入脚本或HTML内容获取敏感数据。
威胁指数:6
攻击结果:应用程序拒绝服务或重启,获得错误堆栈信息(※)推测代码进行下一步攻击。
※注:在ASP.NET配置文件中如果未关闭CustomErrors则可能导致在出现系统异常时显示错误行代码或数据库连接字符串,泄漏配置数据,造成危险隐患。
预防措施:ASP.NET控件验证或服务器端输入验证。
采用客户端验证和服务器端验证结合的方式对用户输入进行验证,通过比较控件输入和其HTML译码值的一致性确认输入字符串中是否含有HTML特殊符号,以此作为依据转化HTML特殊符号,防止脚本在回发表示时触发。

2. 防止SQL注入攻击(SQL Injection Attack)
攻击方法:通过画面输入或URL参数修改,利用其作为SQL查询条件的特殊性,将输入SQL文注入并返回结果的攻击。
威胁指数:9
攻击结果:可查询敏感数据并可修改系统数据。
预防措施:在数据更新和查询时使用数据库参数对象或使用自定义方法转换输入参数,以使注入SQL文失效。
3. 验证用户输入
通过客户端验证为主、服务器端验证为辅(当禁用客户端Javascript时服务器端验证就尤为重要)
客户端验证主要负责验证用户输入的类型、长度、关联关系的验证(此功能由系统扩展控件提供);
服务器端验证分为两部分:
1) 输入验证
输入验证需要对用户输入文字的HTML特殊字符进行验证,含有特殊字符的要抛出系统错误;数据的长度控制尽量在画面通过控件的允许输入长度进行控制;
2) 数据验证
验证数据类型、长度等;此验证行为在对象上进行。
4. 使用Hash算法保存密码
使用ASP.NET Membership管理用户,用户密码使用Hash算法和Salt加密,安全性高;
对于其它需要保存的密码,系统基础结构将提供Hash加密算法进行不可反向加密,作为验证凭据,或者先取先用不保存在数据存储中。
5. 数据安全性
1) 加密敏感数据:基础结构应提供Hash加密算法支持数据加密。
2) XML数据安全性:防止XML数据攻击。
攻击方法:XPath注入和XXE(扩展XML实体)注入攻击。
威胁指数:8
攻击结果:获得XML文件信息。
预防措施:不在XML中保存敏感信息,所有配置文件中的敏感信息需要加密保存,对于要写入XML的数据应先通过验证。
3) ViewState数据安全性:防止从ViewState获取敏感数据。
攻击方法:通过解码ViewState获得敏感信息。
威胁指数:6
攻击结果:获得ViewState中的敏感信息。
预防措施:禁用ViewState或避免,使用简单控件采用加密方式保存敏感信息。
关联问题:使用JSON字符串时注意敏感数据的处理。
6. 存储安全信息到注册表和配置文件
控制远程用户对配置文件的访问权限,保护配置文件中的敏感数据。
7. 再发布前修正配置文件
为防止错误堆栈信息推测以及通过其它信息查获手段进行攻击,ASP.NET Web应用程序在发布前应对配置文件进行修正。
错误堆栈信息推测攻击
攻击方法:造成系统异常,通过错误页上的堆栈信息推测代码进行下一步攻击。
威胁指数:6
攻击结果:推测系统版本和代码逻辑。
预防措施:捕获系统异常使用统一页面进行处理不表示错误堆栈信息,将自定义错误节点设置为<customErrors mode=”Off” />即可防止错误信息表示给远程用户;同时应关闭调试开关<compilation defaultLanguage=”vb” debug=”false” />防止通过调试信息泄漏源代码或进行代码注入。

同时应该关闭Trace优化性能并防止方法攻击者利用Trace推测代码执行过程和详细内容:<trace enabled=”false” requestLimit=”10” pageOutput=”false” traceMode = ”SortByTime” />
对于Web服务要防止远程用户利用WSDL描述进行推测攻击。
攻击方法:访问Web服务WSDL文件,获得Web服务相关信息。
威胁指数:4
攻击结果:获得Web服务方法描述,推测Web服务参数,进行下一步攻击。
预防措施:在配置文件中指定不表示Web方法描述内容,配置文件改修如下:
复制代码 代码如下:
<webServices>
<protocols>
<remove name="Documentation"/>
</protocols>
</webServices>

8. 使用Session但不使用Cookieless的Session
原因:Cookieless的Session将在URL中曝露SessionID,使别人易于利用进行攻击。
9. 预防方向工程
攻击方法:获得程序集使用工具进行反向工程。
威胁指数:9
攻击结果:了解程序逻辑,盗取开发成果。
预防措施:在发布时进行强加密和混淆工程。

参考:

ASP.NET Security: 8 Ways to Avoid Attack

http://www.devx.com/security/Article/20898/1954

《Hacking Exposed Web 2.0 : Web 2.0 Security Secrets and Solutions》,Rich Cannings, Himanshu Dwivedi, Zane Lackey,2008.

标签:
ASP.NET,Web,安全

无为清净楼资源网 Design By www.qnjia.com
广告合作:本站广告合作请联系QQ:858582 申请时备注:广告合作(否则不回)
免责声明:本站文章均来自网站采集或用户投稿,网站不提供任何软件下载或自行开发的软件! 如有用户或公司发现本站内容信息存在侵权行为,请邮件告知! 858582#qq.com
无为清净楼资源网 Design By www.qnjia.com

《魔兽世界》大逃杀!60人新游玩模式《强袭风暴》3月21日上线

暴雪近日发布了《魔兽世界》10.2.6 更新内容,新游玩模式《强袭风暴》即将于3月21 日在亚服上线,届时玩家将前往阿拉希高地展开一场 60 人大逃杀对战。

艾泽拉斯的冒险者已经征服了艾泽拉斯的大地及遥远的彼岸。他们在对抗世界上最致命的敌人时展现出过人的手腕,并且成功阻止终结宇宙等级的威胁。当他们在为即将于《魔兽世界》资料片《地心之战》中来袭的萨拉塔斯势力做战斗准备时,他们还需要在熟悉的阿拉希高地面对一个全新的敌人──那就是彼此。在《巨龙崛起》10.2.6 更新的《强袭风暴》中,玩家将会进入一个全新的海盗主题大逃杀式限时活动,其中包含极高的风险和史诗级的奖励。

《强袭风暴》不是普通的战场,作为一个独立于主游戏之外的活动,玩家可以用大逃杀的风格来体验《魔兽世界》,不分职业、不分装备(除了你在赛局中捡到的),光是技巧和战略的强弱之分就能决定出谁才是能坚持到最后的赢家。本次活动将会开放单人和双人模式,玩家在加入海盗主题的预赛大厅区域前,可以从强袭风暴角色画面新增好友。游玩游戏将可以累计名望轨迹,《巨龙崛起》和《魔兽世界:巫妖王之怒 经典版》的玩家都可以获得奖励。