欢迎来到三一办公! | 帮助中心 三一办公31ppt.com(应用文档模板下载平台)
三一办公
全部分类
  • 办公文档>
  • PPT模板>
  • 建筑/施工/环境>
  • 毕业设计>
  • 工程图纸>
  • 教育教学>
  • 素材源码>
  • 生活休闲>
  • 临时分类>
  • ImageVerifierCode 换一换
    首页 三一办公 > 资源分类 > DOCX文档下载  

    彻底解决netsurveillance web.docx

    • 资源ID:3512247       资源大小:38.77KB        全文页数:5页
    • 资源格式: DOCX        下载积分:6.99金币
    快捷下载 游客一键下载
    会员登录下载
    三方登录下载: 微信开放平台登录 QQ登录  
    下载资源需要6.99金币
    邮箱/手机:
    温馨提示:
    用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)
    支付方式: 支付宝    微信支付   
    验证码:   换一换

    加入VIP免费专享
     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    彻底解决netsurveillance web.docx

    彻底解决netsurveillance web彻底解决netsurveillance web 一、ASP.NET Web应用程序架构安全隐患 1. 对于程序集主要威胁:未验证的访问、反向工程、代码注入、通过异常获得程序信息、未审核访问。 2. 客户端与Web应用程序之间的安全隐患:代码注入、网络监控、参数破解、会话状态变量ID取得、信息获取。 3. Web应用程序客户端与企业服务之间的安全隐患:非审核访问、破解配置数据、网络监视、未约束代理、数据复制。 4. Web服务客户端及其服务之间的安全隐患:非审核访问、参数破解、配置数据取得、网络监、消息回复。 5. Remoting客户端及服务器之间的安全隐患:非审核访问、参数破解、序列化、网络监控。 6. 客户端到数据之间的安全隐患:非审核访问、SQL注入、破解数据模型和链接详细信息、网络监控、破解配置数据、破解面干应用程序数据。 * ASP.NET安全架构注意事项 1. 在浏览器认证用户; 2. 在浏览器和防火墙通路中1)保护敏感数据2)阻止参数破解3)阻止会话攻击和Cookie回复攻击 3. 在Web应用程序侧1)提供安全配置2)处理异常3)审核用户4)验证输入 4. 应用程序服务器1)认证和审核上传身份2)审核并记录活动和事务 5. 在应用程序服务器和数据库间保护敏感数据 6. 数据库中加密或者哈希加密敏感数据 二、ASP.NET Web应用程序安全性隐患防治办法 1. 防止跨站点脚本攻击 攻击方法:在页面通过输入脚本或HTML内容获取敏感数据。 威胁指数:6 攻击结果:应用程序拒绝服务或重启,获得错误堆栈信息推测代码进行下一步攻击。 注:在ASP.NET配置文件中如果未关闭CustomErrors则可能导致在出现系统异常时显示错误行代码或数据库连接字符串,泄漏配置数据,造成危险隐患。 预防措施:ASP.NET控件验证或服务器端输入验证。 采用客户端验证和服务器端验证结合的方式对用户输入进行验证,通过比较控件输入和其HTML译码值的一致性确认输入字符串中是否含有HTML特殊符号,以此作为依据转化HTML特殊符号,防止脚本在回发表示时触发。 2. 防止SQL注入攻击 攻击方法:通过画面输入或URL参数修改,利用其作为SQL查询条件的特殊性,将输入SQL文注入并返回结果的攻击。 威胁指数:9 攻击结果:可查询敏感数据并可修改系统数据。 预防措施:在数据更新和查询时使用数据库参数对象或使用自定义方法转换输入参数,以使注入SQL文失效。 3. 验证用户输入 通过客户端验证为主、服务器端验证为辅 客户端验证主要负责验证用户输入的类型、长度、关联关系的验证; 服务器端验证分为两部分: 1) 输入验证 输入验证需要对用户输入文字的HTML特殊字符进行验证,含有特殊字符的要抛出系统错误;数据的长度控制尽量在画面通过控件的允许输入长度进行控制; 2) 数据验证 验证数据类型、长度等;此验证行为在对象上进行。 4. 使用Hash算法保存密码 使用ASP.NET Membership管理用户,用户密码使用Hash算法和Salt加密,安全性高; 对于其它需要保存的密码,系统基础结构将提供Hash加密算法进行不可反向加密,作为验证凭据,或者先取先用不保存在数据存储中。 5. 数据安全性 1) 加密敏感数据:基础结构应提供Hash加密算法支持数据加密。 2) XML数据安全性:防止XML数据攻击。 攻击方法:XPath注入和XXE注入攻击。 威胁指数:8 攻击结果:获得XML文件信息。 预防措施:不在XML中保存敏感信息,所有配置文件中的敏感信息需要加密保存,对于要写入XML的数据应先通过验证。 3) ViewState数据安全性:防止从ViewState获取敏感数据。 攻击方法:通过解码ViewState获得敏感信息。 威胁指数:6 攻击结果:获得ViewState中的敏感信息。 预防措施:禁用ViewState或避免,使用简单控件采用加密方式保存敏感信息。 关联问题:使用JSON字符串时注意敏感数据的处理。 6. 存储安全信息到注册表和配置文件 控制远程用户对配置文件的访问权限,保护配置文件中的敏感数据。 7. 再发布前修正配置文件 为防止错误堆栈信息推测以及通过其它信息查获手段进行攻击,ASP.NET Web应用程序在发布前应对配置文件进行修正。 错误堆栈信息推测攻击 攻击方法:造成系统异常,通过错误页上的堆栈信息推测代码进行下一步攻击。 威胁指数:6 攻击结果:推测系统版本和代码逻辑。 预防措施:捕获系统异常使用统一页面进行处理不表示错误堆栈信息,将自定义错误节点设置为<customErrors mode=”Off” />即可防止错误信息表示给远程用户;同时应关闭调试开关<compilation defaultLanguage=”vb” debug=”false” />防止通过调试信息泄漏源代码或进行代码注入。 同时应该关闭Trace优化性能并防止方法攻击者利用Trace推测代码执行过程和详细内容:<trace enabled=”false”requestLimit=”10”pageOutput=”false”traceMode = ”SortByTime” /> 对于Web服务要防止远程用户利用WSDL描述进行推测攻击。 攻击方法:访问Web服务WSDL文件,获得Web服务相关信息。 威胁指数:4 攻击结果:获得Web服务方法描述,推测Web服务参数,进行下一步攻击。 预防措施:在配置文件中指定不表示Web方法描述内容,配置文件改修如下: <webServices> <protocols> <remove name="Documentation"/> </protocols> </webServices> 8. 使用Session但不使用Cookieless的Session 原因:Cookieless的Session将在URL中曝露SessionID,使别人易于利用进行攻击。 9. 预防方向工程 攻击方法:获得程序集使用工具进行反向工程。 威胁指数:9 攻击结果:了解程序逻辑,盗取开发成果。 预防措施:在发布时进行强加密和混淆工程。

    注意事项

    本文(彻底解决netsurveillance web.docx)为本站会员(牧羊曲112)主动上传,三一办公仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知三一办公(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    备案号:宁ICP备20000045号-2

    经营许可证:宁B2-20210002

    宁公网安备 64010402000987号

    三一办公
    收起
    展开