通過Visual Studio應對Web應用程式安全威脅

來源:互聯網
上載者:User

對於Web應用程式的開發人員來說,效能與安全就好像兩把利劍插在他們心頭。Web應用程式由 於其面對使用者的特殊性,所以特別容易受到攻擊。筆者在這裡以ASP.NET+VisualStudio為例, 談談該如何有效應對Web應用程式安全威脅。

一、主要安全威脅分析。

對於Web應用程式來說,其可能受到的安全威脅有很多。如電子欺騙、篡改等等。筆者在這 裡將常見的一些安全威脅作一些講解。這些內容可以為後面講到的應對措施建立一個背景知識 。

第一個威脅是篡改。篡改是指在未經管理員授權的情況下更改或者和刪除資源。如前段日子 ,經常有人報料網站被攻擊、首頁被更改的面目全非。要進行這個篡改,難度也不高,重要的 是取得相關的許可權,然後通過指令碼就可以來完成。針對這個威脅,現在常用的手段是使用 Windows作業系統的安全機制來鎖定檔案、目錄和其他的資源。另外,就是要最好許可權管理,如 Web應用程式應該以最少的特權來運行等等。

第二個威脅是電子欺騙。簡單的說,電子欺騙是說以未經授權的方式類比使用者和進程。如通 過電子欺騙可以非法鍵入其他使用者的憑據、更改Cookie 中的內容已假裝是合法的使用者等等。針 對這種電子欺騙,往往可以使用嚴格的身分識別驗證機制來處理。也就是說,每當有使用者請求訪問 非公開資訊的時候,如企業內部的OA系統或者郵件系統(它們掛在企業的網站上),就需要使用 嚴格的身分識別驗證機制來確保這些使用者身份的合法性,特別是要判斷他們的身份是否與他們聲稱 的身份相符合。如下圖所示,有時候使用者聲稱的時候可能跟真實身份不一致(聲稱的身份是假冒 的)。此時就需要在在身分識別驗證機制的協助下,根據一定的規則來判斷 “使用者聲稱身份”與“ 使用者真實身份”的符合程度。如果符合的話,可以就受其請求,不符合的話則拒絕。

三是拒絕服務。拒絕服務的攻擊 就是指採取某種手段故意導致應用程式的可用性降低。如採取某種手段,讓Web應用程式負載過 渡,使其無法為普通使用者提供服務。舉一個形象的例子,就好像使租個幾千輛QQ車子在狹窄的 馬路上來回跑。此時由於馬路已經被佔滿,其他車就開不進來。拒絕服務往往是一種損人不利 己的行為。要防止拒絕服務的攻擊的話,對於普通企業來說,往往可以限制提供服務要求的數量 或者說拒絕已知的惡意使用者和IP地址的訪問等等。

除了以上這些威脅之外,還可能有特權升級、資訊泄露、否認等等安全威脅行為。可見要設 計一個安全的Web應用程式,難度不小。筆者在這方面雖然稱不上專家,但是還是有一些自己的 心得。在這裡筆者就拿出來供大家參考。

相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.