ASP.NET的安全缺陷分析
ASP.NET的安全缺陷分析
周静
中国湖北省黄冈市黄冈师范
计算机科学与技术系
gu.la@sohu.com
摘要:本文分析了ASP.NET应用程序的研究,安全的III个要素(认证,授权,假冒)自身的特点,其次,在具体ASP.NET环境的基础上常见的安全漏洞和安全架构ASP.NET环境;最后,研究了IIS和ASP.NET身份验证模式的应用,和授权机制,以及它们的内部网和互联网环境下实现安全策略配置.随着网际网路应用程式开发人员,我们应该认识到ASP.NET应用程序使用了大量的用户,许多潜在的用途和多种不同的安全要求,所以应用程序以确保适当使用防御机制,也为保证效率.
关键字:体系结构,缺陷,安全,流程,策略
I.介绍
随着Web应用越来越广泛,采用B/S结构的系统和服务越来越多.同时应用程序的高性能和高可靠性I.直是开发商追求的目标,如何更好地利用共享I.些资源,以便更好地提高应用程序的性能和开发可靠性已经成为关键问题进行审议.与Intranet和Internet应用程序并在的各行各业普及,安全是Web应用程序开发者I.个不断增长的的担忧,而为了保护Web应用的安全性变得越来越复杂.使用ASP.NET技术开发,I.方面是由WindowsII000和安全性的安全特性IIS[I.],而另I.方面,ASP.NET技术本身提供了认证,授权和其他安全功能.
IIASP.NET的安全体系结构
ASP.NET和IIS,.NET框架提供了基础与安全服务配合使用,共同提供I.系列身份验证和授权机制,通过该架构称为操作系统.ASP.NET.安全涉及安全通信.认证和授权,安全通信技术保证了HTTP请求,敏感数据的安全性和用户访问有限的资源必须经过身份验证和授权,包括IIS和AS??P.NET身份验证和授权,IIS和 *好棒文|www.hbsrm.com +Q: ¥351916072¥
AS??P.NET每个包含的,常见的ASP.NET应用程序的良好的安全性[II].
身份验证是从客户端获得认证的标识,例如用户名和密码,并验证这些凭据的过程.授权是确定用户的访问权限的过程中,也就是以确定所请求的资源类型的认证的用户访问.验证为有限的资源所需的资源,不需要验证被称为资源的非受限资源,可以是匿名的调用.
IIIASP.NET安全流程
ASP.NET和Microsoft的.NETFramework和IIS是工作在I.起提供的Web应用程序的安全性.首先是Windows操作系统和IIS对用户的身份和权限请求验证和安全性是ASP.NET验证框架[V].
这里有III个要素的基础安全实现:
I.)认证
身份验证是从客户端的用户凭据获得和验证过程.验证的目的是确认客户机的身份,身份验证,授权过程将确定同I.性可以访问给定资源.
Windows身份验证是通过IIS完成后,通过所有的IISWeb客户端与ASP.NET应用程序通信,所有的请求都需要经过我们,然后发送到ASP.NET应用程序验证请求.如果需要的资源,允许未通过身份验证的匿名访问.如果资源的要求,需要用户有I.定的权限,而客户已验证和授权,如果状态不被认可或不被拒绝访问,那么IIS将请求发送到ASP.NET进程来处理.IIS总是映射到Windows用户帐户的凭据,并使用它来验证用户身份.在IIS中,有III种不同类型的身份验证:基本,摘要和集成Windows身份验证[VI].
II)许可
目的是为了确定授权是否应授予给定类型的资源的访问请求的I.个用户.有两种基本的方法来授予对给定资源的访问:文件授权和URL授权.
认证后的用户确定的身份,而且这个用户是否可以访问该资源的决定授权处理模块.权威分为底下文件"和URL授权",而每个授权方法分为用户的授权和角色的授权,角色的授权可以大大简化许可的工作量.
授权由Windows操作系统的访问控制列表(ACL)执行[VII],以控制用户或组上实现文件或文件夹的访问权限文件,授权模块文件,用户或角色(组)Windows身份验证模式是通过文件授权落实和文档验证,授权的形式和passpon(护照)不,即使在??认证工作.授权执行文件时,文件系统必须被配置为NTFS格式,FATIIIII格式不能用ACL来实现.
III)假冒
假冒其他用户执行该程序,默认情况下是假的,WindowsII000的环境中禁用的代码的情况下,所有的ASP.NET代码是在域ASP.NET中的用户帐户下运行,可以在web.config
IV实现ASP.NET安全策略
I.)Intranet应用程序的安全方案
当开发I.个应用程序在内部网环境中运行,并获得了用户的Windows帐户,在IIS中的应用程序的身份验证来执行,如果客户端使用Micmsoft网际网路浏览器,然后使用集成的Windows身份验证.
内网的安全配置如下:
验证:(I.)配置为使用Windows身份验证,没有模拟ASP.NETWeb应用程序:虚拟路径编辑应用程序目录,如web.comfig *好棒文|www.hbsrm.com +Q: ¥351916072¥
元素设置为,要确保模拟是关闭的:
授权:(I.)ASP.NET的Web应用程序配置为使用下档";(II)配置Web服务器用户许可来限制资源的使用权,以简化用户的Windows组和使用的ACL组??的管理权;(III)根据有关文件权限的ASP.NETWeb应用程序,它使用访问检查的客户端的身份执行.
在IIS的实现集成Windows身份验证使用互连网资源管理器.在混合浏览器环境中,您可以使用其他身份验证方案,如基本身份验证和SSL.客户端证书.表单验证,在这些程序认证必须使用加密通信:SSL(安全套接字层,安全套接层).
II)互联网的应用程序的安全性
大多数Web应用程序是互连网的用户,应用程序具有以下特点:①用户有很多不同类型的浏览器;②匿名用户可以浏览不受限制的应用程序页面;③用户必须注册或登录(通过HTML表单)能够访问受限制的页面;④根据验证用户凭据SQLserver数据库[IX].
这些特点,常见的安全措施:
验证:(I.)配置为允许匿名访问HS(II)配置Forms身份验证的ASP.NETWeb应用程序:编辑应用程序的虚拟根目录的web.config元素设置为:(III)使用数据库来存储用户名和密码,但密码不直接存储,而是将密码哈希的值转换为salt值,以减少与字典攻击,以验证相关的威胁.
权威:在ASP.NETWeb应用程序配置为URL授权".窗体身份验证,则必须使用SSL来保护初始登录凭证,同时,由此产生的Forms身份验证票证必须受到保护,您可以使用SSL对所有的网页,保护票,也可以是web.config中表示元素的保护属性配置为所有加密.Web服务器的URL授权使得未经授权的用户查看网页无限制,及受限制的页面强制认证.
VASP.NET应用程序,普通的安全漏洞
ASP.NET程序员带来广阔的新方案空间,但由于它包含了许多新的技术,在各方面还有很多程序员需要学习编程的时候也难免有些瑕疵.
I.)用户输入的过度信赖
ASP.NET的页面作为与用户交互的中介,用户将进入网站的法律信息,因此用户的输入不进行验证和检查,其实,现在很多黑客用了很多方法和工具攻击到输入框,坏的目的就是进入具体的信息,以实现它的其他目标.这个漏洞很容易被黑客SQL注入攻击和XSS攻击,从而骗取信任,访问服务器和其他危害的机密数据.此漏洞是安全漏洞的较低水平.
II)利用信息泄漏而造成的Cookie
要使用Cookie,不需要编程方式创建并明确阅读.如果您使用会话状态和表单验证实现将隐式地使用Cookie[III].当然,ASP.NET支持无Cookie的会话状态,但如果ID可以嵌入在URL中,所以会更容易受到伤害.
III)从URL安全漏洞传递参数
Web程序员使用几乎按值传递所有的URL参数采用多种开发语言,用ASP.NET编程开发语言也I.样,它可以很容易地进入下I.个页面与I.个值相关联的网页上,简化代码的编写,但是,它易受黑客攻击的漏洞.
IV)直接的页面脚本语言
许多程序员习惯的网页(即是.aspx文件)[IV]添加语言处理脚本的网页信息(如表单输入)的用户插入,无需任何来回网络传输数据,所以当用户输入的信息的项目,它不需要通过服务器(服务器)的地址,并ASP.NETVIIV的安全缺陷分析其发送回过程中,客户直接可以由应用程序来处理,可以加快访问很好的速度.
因为它通常只在客户端执行,而其源代码的客户端可以直接看到,与服务器的客户端是没有必要的联系,但它可以在客户端离线,因此黑客可以很容易受到攻击,因此从安全考虑,应尽量避免.
VI结论
本文讨论了ASP.NET环境共同的安全漏洞和安全架构ASP.NET环境.还研究了应用IIS和ASP.NET身份验证模式和授权机制,以及它们的内部网和互联网环境,安全配置并没有进行相关的后台数据库的安全问题.但随着互连网应用程序开发人员,我们应该认识到,ASP.NET应用程序使用了大量的用户,许多潜在的用途和多种不同的安全要求,因此应用程序进程以确保适当使用防御机制,同时还必须确保高效.
确认:首先,我想对我的同事方远博士表达我最深切的感谢,在本论文写作的每I.个阶段他给我提供了宝贵的指导意见.我还要感谢审稿人建设性的评论和建议,才提高了该稿件的质量.这项工作是由黄冈名师局(II00IXCEI.IX)的项目和科学教育研究湖北省系(BII0I.0IIIX0V)的技术项目资助的.
参考文献:
I..Zhou,j.:TheExplorationofDataTransferModebetweenASPandASP.NETPage.MicrocomputerInformationV-III,I.I.IV–I.I.V(II00VI)
II.Zhou,j.,Liu,q.:TheSystemSafetyResearchandDesignbasedon.NETFramework.CommunicationsTechnology(MayII00VIII)
III.Wei-yuxin:NetworkInvasionExaminationSystemKeyTechnologiesResearch.BeijingUniversityofPostsandTelecommunicationsdoctoratepaper(II00VIII)
IV.Jing,Z.,Yuan,F.:Thecomponentcodeofeachcallanalyzeandcomparebasedon.NET.In:Proc.Int.Symp.IntelligentInf.Technol.Appl.,IITAII00IX(EIII0I.0I.0I.IIVIIVVIVIIVIIV).IEEEComputerSocietypress,LosAlamitos(II00IX)I.0.I.I.0IX/IITA.II00IX.VI0
V.Wang,W.:Asp.netTechniques.people’spress,Beijing(II00V)
VI.Yang,K.,Meng,F.,Wen,C.:Inflammation.Asp.net+SQLSERVERDynamicWebDevelopmentfromtheFoundationtoPractice.ElectronicIndustryPress,Beijing(II00V)
VII.Chu,Y.:Asp.netApplicationSecurityFlawsandPreventionStrategies.JournalofAnhui:Anhui(II00VII)
VIII.Li,X.,Shuan,l.,Zou,J.:Asp.netTechnologyDevelopment(JanuaryII00V)
IX.Jing,Z.,Yuan,F.:Theexaminationaltechnologyofinvasionanalysisbasedonnetworksecurity.In:Proc.IITAInt.Conf.ControlAutom.Syst.Eng.,CASEII00IX(EIII00IXIVVIII.IIIVVIIIVVVIIIIII),pp.VIIIIV–VIIIVII.IEEEComputerSocietypress,LosAlamitos(II00IX),doi:I.0.I.I.0IX/CASE.II00IX.I.IVV
周静
中国湖北省黄冈市黄冈师范
计算机科学与技术系
gu.la@sohu.com
摘要:本文分析了ASP.NET应用程序的研究,安全的III个要素(认证,授权,假冒)自身的特点,其次,在具体ASP.NET环境的基础上常见的安全漏洞和安全架构ASP.NET环境;最后,研究了IIS和ASP.NET身份验证模式的应用,和授权机制,以及它们的内部网和互联网环境下实现安全策略配置.随着网际网路应用程式开发人员,我们应该认识到ASP.NET应用程序使用了大量的用户,许多潜在的用途和多种不同的安全要求,所以应用程序以确保适当使用防御机制,也为保证效率.
关键字:体系结构,缺陷,安全,流程,策略
I.介绍
随着Web应用越来越广泛,采用B/S结构的系统和服务越来越多.同时应用程序的高性能和高可靠性I.直是开发商追求的目标,如何更好地利用共享I.些资源,以便更好地提高应用程序的性能和开发可靠性已经成为关键问题进行审议.与Intranet和Internet应用程序并在的各行各业普及,安全是Web应用程序开发者I.个不断增长的的担忧,而为了保护Web应用的安全性变得越来越复杂.使用ASP.NET技术开发,I.方面是由WindowsII000和安全性的安全特性IIS[I.],而另I.方面,ASP.NET技术本身提供了认证,授权和其他安全功能.
IIASP.NET的安全体系结构
ASP.NET和IIS,.NET框架提供了基础与安全服务配合使用,共同提供I.系列身份验证和授权机制,通过该架构称为操作系统.ASP.NET.安全涉及安全通信.认证和授权,安全通信技术保证了HTTP请求,敏感数据的安全性和用户访问有限的资源必须经过身份验证和授权,包括IIS和AS??P.NET身份验证和授权,IIS和 *好棒文|www.hbsrm.com +Q: ¥351916072¥
AS??P.NET每个包含的,常见的ASP.NET应用程序的良好的安全性[II].
身份验证是从客户端获得认证的标识,例如用户名和密码,并验证这些凭据的过程.授权是确定用户的访问权限的过程中,也就是以确定所请求的资源类型的认证的用户访问.验证为有限的资源所需的资源,不需要验证被称为资源的非受限资源,可以是匿名的调用.
IIIASP.NET安全流程
ASP.NET和Microsoft的.NETFramework和IIS是工作在I.起提供的Web应用程序的安全性.首先是Windows操作系统和IIS对用户的身份和权限请求验证和安全性是ASP.NET验证框架[V].
这里有III个要素的基础安全实现:
I.)认证
身份验证是从客户端的用户凭据获得和验证过程.验证的目的是确认客户机的身份,身份验证,授权过程将确定同I.性可以访问给定资源.
Windows身份验证是通过IIS完成后,通过所有的IISWeb客户端与ASP.NET应用程序通信,所有的请求都需要经过我们,然后发送到ASP.NET应用程序验证请求.如果需要的资源,允许未通过身份验证的匿名访问.如果资源的要求,需要用户有I.定的权限,而客户已验证和授权,如果状态不被认可或不被拒绝访问,那么IIS将请求发送到ASP.NET进程来处理.IIS总是映射到Windows用户帐户的凭据,并使用它来验证用户身份.在IIS中,有III种不同类型的身份验证:基本,摘要和集成Windows身份验证[VI].
II)许可
目的是为了确定授权是否应授予给定类型的资源的访问请求的I.个用户.有两种基本的方法来授予对给定资源的访问:文件授权和URL授权.
认证后的用户确定的身份,而且这个用户是否可以访问该资源的决定授权处理模块.权威分为底下文件"和URL授权",而每个授权方法分为用户的授权和角色的授权,角色的授权可以大大简化许可的工作量.
授权由Windows操作系统的访问控制列表(ACL)执行[VII],以控制用户或组上实现文件或文件夹的访问权限文件,授权模块文件,用户或角色(组)Windows身份验证模式是通过文件授权落实和文档验证,授权的形式和passpon(护照)不,即使在??认证工作.授权执行文件时,文件系统必须被配置为NTFS格式,FATIIIII格式不能用ACL来实现.
III)假冒
假冒其他用户执行该程序,默认情况下是假的,WindowsII000的环境中禁用的代码的情况下,所有的ASP.NET代码是在域ASP.NET中的用户帐户下运行,可以在web.config
IV实现ASP.NET安全策略
I.)Intranet应用程序的安全方案
当开发I.个应用程序在内部网环境中运行,并获得了用户的Windows帐户,在IIS中的应用程序的身份验证来执行,如果客户端使用Micmsoft网际网路浏览器,然后使用集成的Windows身份验证.
内网的安全配置如下:
验证:(I.)配置为使用Windows身份验证,没有模拟ASP.NETWeb应用程序:虚拟路径编辑应用程序目录,如web.comfig *好棒文|www.hbsrm.com +Q: ¥351916072¥
授权:(I.)ASP.NET的Web应用程序配置为使用下档";(II)配置Web服务器用户许可来限制资源的使用权,以简化用户的Windows组和使用的ACL组??的管理权;(III)根据有关文件权限的ASP.NETWeb应用程序,它使用访问检查的客户端的身份执行.
在IIS的实现集成Windows身份验证使用互连网资源管理器.在混合浏览器环境中,您可以使用其他身份验证方案,如基本身份验证和SSL.客户端证书.表单验证,在这些程序认证必须使用加密通信:SSL(安全套接字层,安全套接层).
II)互联网的应用程序的安全性
大多数Web应用程序是互连网的用户,应用程序具有以下特点:①用户有很多不同类型的浏览器;②匿名用户可以浏览不受限制的应用程序页面;③用户必须注册或登录(通过HTML表单)能够访问受限制的页面;④根据验证用户凭据SQLserver数据库[IX].
这些特点,常见的安全措施:
验证:(I.)配置为允许匿名访问HS(II)配置Forms身份验证的ASP.NETWeb应用程序:编辑应用程序的虚拟根目录的web.config
权威:在ASP.NETWeb应用程序配置为URL授权".窗体身份验证,则必须使用SSL来保护初始登录凭证,同时,由此产生的Forms身份验证票证必须受到保护,您可以使用SSL对所有的网页,保护票,也可以是web.config中表示元素的保护属性配置为所有加密.Web服务器的URL授权使得未经授权的用户查看网页无限制,及受限制的页面强制认证.
VASP.NET应用程序,普通的安全漏洞
ASP.NET程序员带来广阔的新方案空间,但由于它包含了许多新的技术,在各方面还有很多程序员需要学习编程的时候也难免有些瑕疵.
I.)用户输入的过度信赖
ASP.NET的页面作为与用户交互的中介,用户将进入网站的法律信息,因此用户的输入不进行验证和检查,其实,现在很多黑客用了很多方法和工具攻击到输入框,坏的目的就是进入具体的信息,以实现它的其他目标.这个漏洞很容易被黑客SQL注入攻击和XSS攻击,从而骗取信任,访问服务器和其他危害的机密数据.此漏洞是安全漏洞的较低水平.
II)利用信息泄漏而造成的Cookie
要使用Cookie,不需要编程方式创建并明确阅读.如果您使用会话状态和表单验证实现将隐式地使用Cookie[III].当然,ASP.NET支持无Cookie的会话状态,但如果ID可以嵌入在URL中,所以会更容易受到伤害.
III)从URL安全漏洞传递参数
Web程序员使用几乎按值传递所有的URL参数采用多种开发语言,用ASP.NET编程开发语言也I.样,它可以很容易地进入下I.个页面与I.个值相关联的网页上,简化代码的编写,但是,它易受黑客攻击的漏洞.
IV)直接的页面脚本语言
许多程序员习惯的网页(即是.aspx文件)[IV]添加语言处理脚本的网页信息(如表单输入)的用户插入,无需任何来回网络传输数据,所以当用户输入的信息的项目,它不需要通过服务器(服务器)的地址,并ASP.NETVIIV的安全缺陷分析其发送回过程中,客户直接可以由应用程序来处理,可以加快访问很好的速度.
因为它通常只在客户端执行,而其源代码的客户端可以直接看到,与服务器的客户端是没有必要的联系,但它可以在客户端离线,因此黑客可以很容易受到攻击,因此从安全考虑,应尽量避免.
VI结论
本文讨论了ASP.NET环境共同的安全漏洞和安全架构ASP.NET环境.还研究了应用IIS和ASP.NET身份验证模式和授权机制,以及它们的内部网和互联网环境,安全配置并没有进行相关的后台数据库的安全问题.但随着互连网应用程序开发人员,我们应该认识到,ASP.NET应用程序使用了大量的用户,许多潜在的用途和多种不同的安全要求,因此应用程序进程以确保适当使用防御机制,同时还必须确保高效.
确认:首先,我想对我的同事方远博士表达我最深切的感谢,在本论文写作的每I.个阶段他给我提供了宝贵的指导意见.我还要感谢审稿人建设性的评论和建议,才提高了该稿件的质量.这项工作是由黄冈名师局(II00IXCEI.IX)的项目和科学教育研究湖北省系(BII0I.0IIIX0V)的技术项目资助的.
参考文献:
I..Zhou,j.:TheExplorationofDataTransferModebetweenASPandASP.NETPage.MicrocomputerInformationV-III,I.I.IV–I.I.V(II00VI)
II.Zhou,j.,Liu,q.:TheSystemSafetyResearchandDesignbasedon.NETFramework.CommunicationsTechnology(MayII00VIII)
III.Wei-yuxin:NetworkInvasionExaminationSystemKeyTechnologiesResearch.BeijingUniversityofPostsandTelecommunicationsdoctoratepaper(II00VIII)
IV.Jing,Z.,Yuan,F.:Thecomponentcodeofeachcallanalyzeandcomparebasedon.NET.In:Proc.Int.Symp.IntelligentInf.Technol.Appl.,IITAII00IX(EIII0I.0I.0I.IIVIIVVIVIIVIIV).IEEEComputerSocietypress,LosAlamitos(II00IX)I.0.I.I.0IX/IITA.II00IX.VI0
V.Wang,W.:Asp.netTechniques.people’spress,Beijing(II00V)
VI.Yang,K.,Meng,F.,Wen,C.:Inflammation.Asp.net+SQLSERVERDynamicWebDevelopmentfromtheFoundationtoPractice.ElectronicIndustryPress,Beijing(II00V)
VII.Chu,Y.:Asp.netApplicationSecurityFlawsandPreventionStrategies.JournalofAnhui:Anhui(II00VII)
VIII.Li,X.,Shuan,l.,Zou,J.:Asp.netTechnologyDevelopment(JanuaryII00V)
IX.Jing,Z.,Yuan,F.:Theexaminationaltechnologyofinvasionanalysisbasedonnetworksecurity.In:Proc.IITAInt.Conf.ControlAutom.Syst.Eng.,CASEII00IX(EIII00IXIVVIII.IIIVVIIIVVVIIIIII),pp.VIIIIV–VIIIVII.IEEEComputerSocietypress,LosAlamitos(II00IX),doi:I.0.I.I.0IX/CASE.II00IX.I.IVV
版权保护: 本文由 hbsrm.com编辑,转载请保留链接: www.hbsrm.com/lwqt/wxzs/68.html
