《开发安全的Web应用案例分析.ppt》由会员分享,可在线阅读,更多相关《开发安全的Web应用案例分析.ppt(23页珍藏版)》请在三一办公上搜索。
1、开发安全的Web应用案例分析,NameTitleMicrosoft,日程安排,Microsoft Reference Application for OpenHack(MRAO)速览系统架构应用系统的安全性Forms认证输入项的有效性验证数据访问数据保护错误处理及日誌,什么是OpenHack?,由eWEEK资助的安全性竞赛(Oct.22 to Nov.8,2002)谁能构建最安全的抵御黑客攻击的Web应用参赛者搭建符合eWEEK规范的Web应用eWEEK邀请所有的志愿者来攻击该网站2002年参赛者:Microsoft,Oracle等,i,http:/,Microsoft Reference A
2、pplication for OpenHack,Microsoft从2002年起参与竞赛抵御了80,000+以上的攻击而没有丝毫的安全性漏洞该应用由Vertigo Software和 Microsoft编写自比赛以来代码已得到了更新可以从网上得到最新的版本如何构建安全应用的最佳范例,速览,应用架构,AwardsDatabase,ASP.NET,信息确认层,数据访问层,数据保护层,IIS,Public,Registry,DPAPI,匿名访问,Forms认证URL 认证,信任连接,Windows认证,Decryptionkeys,Connectionstrings etc.,Private,SQL
3、许可,Forms认证,Two-tiered 目录结构根目录包含“public”页面(包括login page)“Secure”子目录包含了需要登陆的所有页面Forms 认证 cookie永远使用临时cookie,而不使用永久cookie30-minute time-out设置Cookie path 到应用系统的根目录,Forms 认证,输入有效性确认(Input Validation),客户端用户输入均由 validation controls确认服务器端输入和输出均由 validation layer进行清洗,Pages,All Input,清洗,Other Input,Validation
4、Controls,User Input,Output,HTML-Encode,CleanString,Input Validation,Awards 数据结构,Awards 数据安全,用户用户:webuser(Windows principal)映射该用户为 ASP.NET 工作用户存储过程30 stored proceduresUsed for all interaction with database用户许可用户webuser允许调用所有的存储过程“public”用户没有分配任何权限,数据访问(Data Access),多级数据访问层所有访问均使用存储过程所有访问均有用户webuser执行
5、采用Windows信任认证方式建立SQL Server连接数据库联接串采用 DPAPI进行加密并保存于 ACLed registry key中,数据访问策略,AwardsDatabase,数据访问层,Pages,业务逻辑层,DbHelper,SqlHelper,安全的数据访问,数据保护(Data Protection),Registry安全HKLMSoftwareMicrosoftOpenHack4DPAPI加密的数据库联接串DPAPI加密的crypto 解码匙DPAPI加密的crypto初始化向量(initialization vector IV)DPAPI entropy valueACL
6、 授权admins and SYSTEM帐号完全控制权限,而对ASP.NET worker process赋予只读权限Database安全用户密码的加密保存信用卡号的加密保存,数据保护策略,CryptUtil,Pages,DataProtection,NativeMethods,DPAPI,数据保护层,注册表(Registry),业务逻辑,错误处理及日誌,默认的错误页面默认错误被定向到 Error.aspx提供对错误的普通处理应用系统级Error未经处理的例外将被写入Windows event日誌其中包括了stack trace 和其他丰富的错误信息错误登陆在 Windows event日志中
7、记录登陆信息有助于诊断分析和入侵检测,错误处理和日誌,总结,MRAO 清洗和输入确认MRAO 安全数据访问MRAO 加密敏感信息MRAO 使用forms认证和URL授权MRAO 安全的处理错误以及适当的日誌MRAO 是一个安全的应用!,附加资源,Improving Web Application Security,Building Secure ASP.NET Applications,http:/,http:/,2003-2004 Microsoft Corporation.All rights reserved.This presentation is for informational purposes only.Microsoft makes no warranties,express or implied,in this summary.,
