日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

增強(qiáng)Web的安全性( 二 )

云知道


(4) 輸出數(shù)據(jù)HTML編碼
輸出數(shù)據(jù)HTML編碼是指在將任何數(shù)據(jù)返回給用戶前均應(yīng)采用HTML編碼,以防止跨站點(diǎn)的腳本攻擊 。因?yàn)楣粽咭坏┢茐牧藬?shù)據(jù)庫(kù),便可向記錄中輸入腳本,此腳本隨后被返回給用戶并在瀏覽器中執(zhí)行 。通過(guò)HTML編碼,可將大多數(shù)腳本命令自動(dòng)轉(zhuǎn)換為無(wú)害文本 。
通過(guò)System.Web.HttpServerUtility 類中的 HtmlEncode 方法可實(shí)現(xiàn)HTML編碼,如下所示:
SomeLabel.Text = Server.HtmlEncode(username);
(5) 信息加密存儲(chǔ)
信息加密存儲(chǔ)是指對(duì)如數(shù)據(jù)庫(kù)連接字符串、用戶秘密等敏感信息進(jìn)行加密存儲(chǔ),以妥善保護(hù)數(shù)據(jù) 。
數(shù)據(jù)庫(kù)連接字符串存放有包括數(shù)據(jù)庫(kù)服務(wù)器的位置、數(shù)據(jù)庫(kù)名稱和用戶名&密碼等數(shù)據(jù)庫(kù)連接信息,攻擊者一旦設(shè)法讀取字符串就可用它來(lái)訪問(wèn)數(shù)據(jù)庫(kù)并對(duì)數(shù)據(jù)庫(kù)進(jìn)行惡意破壞 。通常我們可以采用以下方法保護(hù)加密連接字符串等秘密信息:加密連接字符串,將其存儲(chǔ)在注冊(cè)表中,并使用訪問(wèn)控制列表(ACL)確保只有系統(tǒng)管理員和ASP.NET輔助進(jìn)程才能訪問(wèn)注冊(cè)表項(xiàng) 。通過(guò)使用.Net Framework 的 System.Security.Cryptography 類中的 TripleDES 類提供的功能可實(shí)現(xiàn)對(duì)信息的加密 。
2.Internet信息服務(wù)(IIS)層安全
對(duì)IIS進(jìn)行安全配置一般包括如下幾方面內(nèi)容,可最大程度地保障系統(tǒng)安全:
(1) 盡可能安裝軟件的最新版本;
(2) 盡可能安裝軟件的最新服務(wù)包和修補(bǔ)程序;
(3) 將磁盤上的默認(rèn)Web站點(diǎn)位置從c:inetpub更改到其他卷,以防止攻擊者通過(guò)輸入“..”作為位置說(shuō)明輕松訪問(wèn)C:驅(qū)動(dòng)器;
(4) 使用IIS鎖定工具(IIS Lockdown Tool)刪除應(yīng)用程序中未使用的所有其他動(dòng)態(tài)內(nèi)容類型,以減少攻擊者可用來(lái)攻擊的區(qū)域;
(5) 確保應(yīng)用程序使用低權(quán)限的默認(rèn)本地服務(wù)賬戶(ASP.NET賬戶)運(yùn)行ASP.NET代碼;
(6) 將ASP.NET賬戶添加到IIS鎖定工具創(chuàng)建的本地“Web應(yīng)用程序組”,以防進(jìn)程在被偷襲時(shí)運(yùn)行任何未得到授權(quán)的命令行可執(zhí)行程序;
(7) 修改Web應(yīng)用程序組權(quán)限,使其可運(yùn)行應(yīng)用程序需要的如.Net Framework C#編譯器和資源轉(zhuǎn)換器(Cse.exe和Cvtres.exe)等資源;
(8) 配置URLScan2.5,使其只允許應(yīng)用程序中使用的擴(kuò)展集,并阻止較長(zhǎng)的請(qǐng)求(URLScan2.5是由IIS鎖定工具安裝的,是一個(gè)ISAPI過(guò)濾器,可根據(jù)查詢長(zhǎng)度和字符集等規(guī)則監(jiān)視和過(guò)濾發(fā)送到IIS Web服務(wù)器的所有輸入請(qǐng)求);
(9) 設(shè)置Web內(nèi)容目錄的訪問(wèn)權(quán)限,授予ASP.NET進(jìn)程對(duì)內(nèi)容文件的讀訪問(wèn)權(quán)限,授予匿名用戶對(duì)所提供內(nèi)容的適當(dāng)只讀訪問(wèn)權(quán)限;
(10) 限制對(duì)IIS和URLScan的日志目錄的訪問(wèn),只有系統(tǒng)賬戶和系統(tǒng)管理員組才具有訪問(wèn)權(quán)限 。
3.Windows2000 Advanced Server操作系統(tǒng)層安全
為增強(qiáng)操作系統(tǒng)的安全性,應(yīng)盡可能安裝當(dāng)時(shí)發(fā)布的最新服務(wù)包,盡可能關(guān)閉應(yīng)用程序未用到的服務(wù) 。下面介紹幾個(gè)注冊(cè)表值 。
(1) 創(chuàng)建注冊(cè)表項(xiàng):nolmhash
在 Windows 2000 中,這是一個(gè)關(guān)鍵字,而在 Windows XP 和 Windows Server 2003 中,這是一個(gè)值 。
位置:HKLMSystemCurrent ControlSetControlLSA ;
用途:防止操作系統(tǒng)以 LM 散列格式存儲(chǔ)用戶密碼 。此格式只用于不支持 NTLM 或 Kerberos 的 Windows 3.11 客戶端 。創(chuàng)建和保留此 LM 散列的風(fēng)險(xiǎn)在于,如果攻擊者設(shè)法將以此格式存儲(chǔ)的密碼解密,就可以在網(wǎng)絡(luò)上的其他計(jì)算機(jī)上重復(fù)利用這些密碼 。
(2) 創(chuàng)建注冊(cè)表值:NoDefault Exempt
位置:HKLMSystemCurrent ControlSetServicesIPSEC ;
用途:默認(rèn)情況下,IPSec 將允許源端口為 88 的傳入通信查詢 IPSec 服務(wù),以獲取連接到計(jì)算機(jī)的信息,而不管使用的是哪種 IPSec 策略 。通過(guò)設(shè)置此值,除了我們?cè)O(shè)置的 IPSec 過(guò)濾器允許的通信以外,不允許端口之間進(jìn)行任何通信 。

推薦閱讀