欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

 構建一個(gè)安全的系統，這是一個(gè)非常龐大的工程。它包括設置網(wǎng)絡(luò )安全，設置操作系統安全以及應用程序本身的安全性。本文介紹的是有關(guān)應用.Net技術(shù)如何構建一個(gè)安全的Web應用系統。

一 安全涉及的服務(wù)

構建一個(gè)Web應用系統，肯定要涉及到客戶(hù)端，iis以及數據庫等各個(gè)組建。下面這幅圖[該圖來(lái)源：http://msdn2.microsoft.com/en-us/library/aa302415.aspx]很好地反映了web應用程序的整個(gè)風(fēng)貌，左邊表示web應用程序設計的組件或服務(wù)，右邊表示各個(gè)組件或服務(wù)可以考慮使用的安全方案。
比如在IIS這個(gè)環(huán)節上，我們可以使用匿名訪(fǎng)問(wèn)或設置其它的驗證控制方式，可以設置IP地址和域名限制，也可以設置安全案通訊服務(wù)器證書(shū)。最新版本的IIS都較上一個(gè)IIS版本更好的安全改進(jìn)。最新的IIS7新增安全性可以閱讀http://blogs.iis.net/bhill/archive/2006/08/16/Security-features-in-IIS-7.aspx。

二 IIS的設置

如何設置IIS，在最大程度上確保IIS安全呢？
1. 給IIS打好補丁。 每隔一段時(shí)間，微軟都會(huì )發(fā)布一些安全更新的補丁，必須及時(shí)給您的系統打上這些更新補丁。
2. 更改vs 2005自動(dòng)生成的web項目的文件存放位置。建立web項目時(shí)，vs 2005會(huì )自動(dòng)在C:\Inetpub\wwwroot下創(chuàng )建項目目錄，更改這個(gè)自動(dòng)生成的目錄，將他放在其他盤(pán)下的某個(gè)位置，將會(huì )增加入侵者找到文檔目錄的難度。
3. 如采用匿名訪(fǎng)問(wèn)，給匿名用戶(hù)盡量少的系統權限。
4. 如有必要，給站點(diǎn)設置IP地址限制。
5. 禁用目錄瀏覽項目，阻止惡意用戶(hù)導航到帶有危險工具的目錄。
   [站點(diǎn)]->[屬性]->[主目錄](méi)->[目錄瀏覽]
6. 禁用父路徑瀏覽，以防惡意用戶(hù)使用MapPath方法瀏覽父目錄。
   [站點(diǎn)]->[屬性]->[主目錄](méi)->[應用程序配置]->[啟用父路徑]
7. 刪除不必要的IIS虛擬目錄


三 Web程序的設置

1. 設置服務(wù)器的驗證方式
.net 提供了我們三種驗證的方式,分別為Windows身份驗證,窗體身份驗證和.net Passport身份驗證。對于這三種驗證方式，msdn中的 http://msdn2.microsoft.com/en-us/library/aa302388.aspx 一文已對此作了非常詳細的介紹。

2. 加密連接數據庫字符串
  不少朋友喜歡將連接數據庫字符串直接放在web.config中的<connectionStrings>節點(diǎn)下，如同<add name="SQLConnString" connectionString="Data Source=... User Id=...;Password=....;Initial Catalog=...;" providerName="System.Data.SqlClient"/>其實(shí)這樣做非常不安全，萬(wàn)一web.config這個(gè)文件被非法用戶(hù)獲取，那么數據庫服務(wù)器上的數據庫及用戶(hù)名密碼信息就會(huì )被一覽無(wú)余，這等于給了非法用戶(hù)一個(gè)防盜門(mén)的鑰匙。有兩中較好的方法加密方法：

方法1：
msdn中有兩篇很好的文章分別敘述了如何使用DPAPI和RSA分別給它加密。
Encrypt Configuration Sections in ASP.NET 2.0 Using DPAPI： http://msdn2.microsoft.com/en-us/library/ms998280.aspx
Encrypt Configuration Sections in ASP.NET 2.0 Using RSA： http://msdn2.microsoft.com/en-us/library/ms998283.aspx

方法2：
在windows注冊表中新建鍵值，將SQLConnString加密后的信息存放在該鍵值上，然后設置某部分用戶(hù)才有權限去讀取注冊表中的鍵值，這不失為一種更為安全的方法。

3.  預防跨站點(diǎn)攻擊

何為跨站點(diǎn)攻擊？跨站點(diǎn)攻擊是惡意教本通過(guò)其他站點(diǎn)通過(guò)腳本的形式注入系統。
如 view.aspx?stuname=sam 寫(xiě)成view.aspx?stuname=<script>alert(‘you are attacked!‘)</script>
這就是一個(gè)典型的跨站點(diǎn)攻擊。

預防的措施有：

1. 限制輸入格式,輸入類(lèi)型，輸入長(cháng)度以及輸入字符
 如果你使用asp.net的web控件，可以使用asp.net提供的服務(wù)器端驗證控件加以驗證。如果使用html server端控件，那就需要使用System.Text.RegularExpressons.Regex在服務(wù)器端加以驗證。
注意，不要僅僅在客戶(hù)端使用js代碼加以驗證。因為客戶(hù)端的js腳本可以輕松地通過(guò)禁用教本語(yǔ)言將它忽略。我對客戶(hù)端的js腳本的理解是，他僅僅幫助改善用戶(hù)體驗。

2. 格式化輸出。將輸入的內容通過(guò)HttpUtility.HtmlEncode處理，這樣就不能直接看出輸出的內容。

3.  要注意使用一些有潛在危險的html標簽，這些標簽很容易嵌入一些惡意網(wǎng)頁(yè)代碼。如<img> <iframe><script><frameset><embed><object>< style>等。

4. 預防SQL注入式攻擊

何為SQL注入式攻擊？ 利用SQL語(yǔ)法規則，構建出惡意攻擊語(yǔ)句入侵數據庫系統。
比如，用戶(hù)輸入了 a‘; drop database ***
將原本的select * from user where username = ‘a(chǎn)‘ 構建成了select * from user where username = ‘a(chǎn)‘;drop database *** . 類(lèi)似這種惡意的攻擊后果非常嚴重，這句話(huà)就足以將您的數據庫刪除??！

預防的措施有：

1. 限制輸入格式,輸入類(lèi)型，輸入長(cháng)度以及輸入字符
2. 使用帶參數的動(dòng)態(tài)SQL語(yǔ)句，或者使用代參數的存儲過(guò)程。這樣程序中代替參數的內容將不被視為可執行的 代碼，僅僅是表示一段文本。
3. 限制數據庫帳戶(hù)的權限，堅持帳戶(hù)最小權限原則。
4. 如有必要，不給程序中連接數據庫的帳戶(hù)操作數據庫表的權限。通過(guò)建立存儲過(guò)程，給帳戶(hù)操作存儲過(guò)程的權限，通過(guò)存儲過(guò)程實(shí)現數據庫表的增刪查改。

四. 數據庫安全設置

對數據庫的安全設置內容也非常博大精深，很多公司也有專(zhuān)門(mén)的數據庫管理員負責數據庫的安全?？紤]以下幾項內容，對數據庫的安全一定也有幫助。
1. 及時(shí)安裝數據庫補丁
2. 給帳戶(hù)設置盡量少的權限。
3. 給sa帳戶(hù)設置復雜的密碼。該密碼要包含數字，字母及如?。＃サ确亲帜缸址?，長(cháng)度要>=8.
4. 按必要刪除一些不用的服務(wù)，比如終端服務(wù)等等。

如何構建安全的.net web應用系統是在是博大精深，當然在不同情形下，對應用程序的安全有不同級別的要求，每個(gè)開(kāi)發(fā)人員也應從實(shí)際出發(fā)，構建符合實(shí)際需要的安全的系統。以上是我在實(shí)踐中積累的一點(diǎn)經(jīng)驗，寫(xiě)出來(lái)供大家參考，不當之處，歡迎大家討論。

如有興趣，更多更精深的內容也可以閱讀http://msdn2.microsoft.com/en-us/library/aa302415.aspx 。