加强WEB程序防护确保应用安全_NoRestriction.pdfVIP

加强WEB程序防护确保应用安全 张志新 (中电投江西三和电力股份有限公司江口水电厂) 摘 要：本文主要探讨Web应用程序存在的安全隐患，分析了几种身份认证模式，对窗体身份认证中容易 受到的攻击提出了解决方案，并给出了如何生成可靠的登录附加码的程序代码 1 引言 2 WEB应用程序的身份验证方案 在中国的国有企业中，电力企业的信息化程度与 水平一直是比较高的，大多数单位早已实现OA、MIS安全，除了要安全配置IIS外，还要保证一个应用程 等系统的成熟应用，一些企业甚至已经实施了CRM、 序内部的安全特性，包括实现身份验证、授权，并 ERP等项目，使企业的发展如虎添翼。同时，随着 确保没有提供可被利用的漏洞等。 信息化水平的不断提高，也形成了一批信息方面的专 身份验证是验证用户标识真实性的过程，用于 业技术人才，除了对这些商业软件进行管理维护外， 鉴别用户身份是否是合法；授权是对合法用户可使用 还能自主开发一些应用软件与程序，以有针对性地满 何种资源的权限的设置，以允许特殊用户访问特定资 足企业某些方面的应用需求。 源。身份验证和授权是许多分布式应用程序控制访问 B／s模式是现在应用开发的主流方式，因其布署 的一个重要部分。 方便、上手快，使用这种模式编写应用程序的程序 一般情况下，客户端访问某些特殊资源必须提 员也越来越多。但是由于这种方式的入门门槛不高， 供某些凭据(即证据，通常包括用户名和密码对)来证 导致程序员的水平及经验也参差不齐。相当一部分的 明其身份，在一个hSP．NET应用程序中，身份验 程序员在编写代码的时候，往往主要考虑如何实现应 用所需的功能，未能充分考虑代码与程序的安全性， 的．NET Passport身份验证方案、窗体身份验证方 尤其在对登录用户进行身份验证方面，如对用户输入 案或开发自定义身份验证方案等方法来实现。 数据的合法性进行判断、防止穷举法破解密码等，使 2．1Windows身份验证 应用程序存在安全隐患， 如果这些漏洞如果被黑客或别有用心的人利用， 将有很大的可能藉此侵入我们的系统，进而通过上传 用程序，要求用户必须具有有效的Windows账户，身 木马等方法，获取更高直至管理员的权限。更为严 份验证过程由ASP．NET转交由IIS来处理。如果用 重的是：这种入侵如SQL注入等是从正常的wwW端口 进行的，而且表面看起来跟一般的Web页面访问没什 么区别，所以目前的防火墙都不会对SQL注入发出警 及需要处理的请求。使用这种验证方式的好处是，把 报，如果管理员没有及时察看IIS日志，可能被入侵 身份验证的任务交给IIS而不必编写实现身份验证功 很长时间都不会发觉!根据统计，国内的网站用ASP／ ASP．NET+AtceSS或SQLServer的占70％以上， php+MySQL占约20％，其他的不足10％。本文主要就 对用户账户进行管理，并通过Windows文件访问权限 占大多数的ASP／ASP．NET展开探讨，且根据ASP即将 来控制对文件的访问。但是，这种方式也有它的缺 转向ASP．NET的趋势，文中的代码使用ASP．NET代 点，第一、用户必须使用Windows客户机，并且有 码。 一263— ■■■■■■■_ 合法有效的Windows账户，这样就限制了对使用非身份验证系统，可以对Web站点的特殊资源进行严密 Microsof