通過Visual Studio應對Web應用程式安全威脅

對於Web應用程式的開發人員來說，效能與安全就好像兩把利劍插在他們心頭。Web應用程式由 於其面對使用者的特殊性，所以特別容易受到攻擊。筆者在這裡以ASP.NET+VisualStudio為例， 談談該如何有效應對Web應用程式安全威脅。

一、主要安全威脅分析。

對於Web應用程式來說，其可能受到的安全威脅有很多。如電子欺騙、篡改等等。筆者在這 裡將常見的一些安全威脅作一些講解。這些內容可以為後面講到的應對措施建立一個背景知識 。

第一個威脅是篡改。篡改是指在未經管理員授權的情況下更改或者和刪除資源。如前段日子 ，經常有人報料網站被攻擊、首頁被更改的面目全非。要進行這個篡改，難度也不高，重要的 是取得相關的許可權，然後通過指令碼就可以來完成。針對這個威脅，現在常用的手段是使用 Windows作業系統的安全機制來鎖定檔案、目錄和其他的資源。另外，就是要最好許可權管理，如 Web應用程式應該以最少的特權來運行等等。

第二個威脅是電子欺騙。簡單的說，電子欺騙是說以未經授權的方式類比使用者和進程。如通 過電子欺騙可以非法鍵入其他使用者的憑據、更改Cookie 中的內容已假裝是合法的使用者等等。針 對這種電子欺騙，往往可以使用嚴格的身分識別驗證機制來處理。也就是說，每當有使用者請求訪問 非公開資訊的時候，如企業內部的OA系統或者郵件系統(它們掛在企業的網站上)，就需要使用 嚴格的身分識別驗證機制來確保這些使用者身份的合法性，特別是要判斷他們的身份是否與他們聲稱 的身份相符合。如下圖所示，有時候使用者聲稱的時候可能跟真實身份不一致(聲稱的身份是假冒 的)。此時就需要在在身分識別驗證機制的協助下，根據一定的規則來判斷 “使用者聲稱身份”與“ 使用者真實身份”的符合程度。如果符合的話，可以就受其請求，不符合的話則拒絕。

三是拒絕服務。拒絕服務的攻擊 就是指採取某種手段故意導致應用程式的可用性降低。如採取某種手段，讓Web應用程式負載過 渡，使其無法為普通使用者提供服務。舉一個形象的例子，就好像使租個幾千輛QQ車子在狹窄的 馬路上來回跑。此時由於馬路已經被佔滿，其他車就開不進來。拒絕服務往往是一種損人不利 己的行為。要防止拒絕服務的攻擊的話，對於普通企業來說，往往可以限制提供服務要求的數量 或者說拒絕已知的惡意使用者和IP地址的訪問等等。

除了以上這些威脅之外，還可能有特權升級、資訊泄露、否認等等安全威脅行為。可見要設 計一個安全的Web應用程式，難度不小。筆者在這方面雖然稱不上專家，但是還是有一些自己的 心得。在這裡筆者就拿出來供大家參考。