登录
【IT168技术文档】
Web应用是互联网最普遍的应用之一,因此也使你的网络极易遭遇入侵导致敏感资料被窃、数据被篡改、或者甚至威胁到系统的安危。确保Web应用安全是一个很迫切的任务,并且需要贯穿设计、开发、配置和实施阶段的考虑。不能只把它看作附加在现有应用上的一些事物,或者认为应用现有平台的安全特征就很容易实现的。
即使依托相关安全平台发展,Web应用也必须追随最好的贯穿设计、开发、配置整个阶段的安全平台来最大程度的避免遭遇攻击。为了开发出安全的Web应用,这个详细而精确的平台设计需要结合安全设计实践、威胁模拟分析和安全渗透检验知识。
这篇文章论述了怎样采用ASP.NET 2.0 and IIS 6.0的安全机制去建立安全的Web应用的实践。
Web 安全应用设计
安全设计原则通常可归结为几个关键原则:假设所有的系统输入都是恶意的,减少系统外露信息,采用默认值,使用深度防卫而不依靠系统其他部分来保护。按照这些普遍原则来进行设计是确保你的应用尽好的被保护的关键。
威胁模拟分析是用来制订系统数据溢出和检查可能的恶意入侵点。威胁模拟分析是从设计者的角色换为入侵者的角色去检查你的设计的关键必要的练习,可以帮助发现潜在的安全漏洞。要了解更多的关于威胁模拟的知识,请到威胁模拟分析。
安全渗透检验又一种攻击你的应用——在别人入侵之前去破坏你的应用以求发现问题的方法。你可以尝试发送无效或最坏数据使你的应用达到极限。你也可以利用你了解的它的内部只是来破坏你的应用程序——这样,你所来了解的内部知识赋予你相对于一般的入侵者无可比拟的优势,或许可以挖掘出深藏在你的代码内部的脆弱点。有各种各样的工具可以帮助你来做安全渗透检验。
| 第1页: Web 安全应用设计 | 第2页: 资源保护 |
| 第3页: 访问控制 | 第4页: 验证 |
| 第5页: 授权 |
