第46讲：Web应用程序的安全性.pptVIP

随着互联网经济和文化的不断兴起，保证Web应用程序的安全性，越来越重要。在Web开发中，保证安全性对于一些特定的行业来说，占据了举足轻重的地位。例如网上银行、在线办公、电子邮件、管理私密文件的信息系统等。 保障安全都有哪些措施 保障应用程序的安全性，有着相当重要的意义。下面的列出了适用于所有Web应用程序应当遵循的最低安全性准则： 经常对程序进行备份，并将备份存放在安全的场所。 将Web服务器放置在安全的场所。 尽量使用Windows NTFS文件系统，避免使用FAT32格式。 使用复杂的字符组合密码。 关闭不使用的端口和服务。 运行监视入站和出站通信的病毒检查程序。 使用防火墙。 定期安装操作系统或其他应用软件供应商提供的最新安全补丁程序。 使用操作系统事件日志记录，并且经常检查这些日志，以查找可疑活动。例如：查看反复尝试登录系统及向Web服务器发出数量巨大的请求。 作为Web应用程序的管理员或者开发者，决对不能假定用户输入的信息都是安全的。 对恶意用户来说，从客户端向应用程序发送潜在危险的信息是很容易的，例如SQL的注入式攻击。还有程序自身的有一些没有被检查出来的潜在错误，也可能成为攻击下手的对象。若要防止恶意输入，请遵循以下原则： 在ASP.NET网页中，要筛选用户输的数据，以查找是否含有可能危害应用程的脚本。 不要回显未经筛选信息。在显示不受信任的信息之前，对HTML进行编码检查，因为它有可能存在潜在有害的脚本，最好把这些脚本转换为字符显示出来，就可以阻止它的执行。 不要可将未经筛选的信息存储在数据库中。 如果要接受来自用户提交的一些HTML程序，则手动进行筛选，也可以用程序判断，根据内容决定是事过滤它。 不要将敏感信息，例如隐藏域或者Cookie存储在可从浏览器访问的位置。更不要将密码存储在Cookie中。 配置Web应用程序的身份验证类型 通过配置Web.config文件，应用程序可以实现身份类型验证。 在Web应用程序中，IIS提供了5种身份验证机制：基本身份验证、简要身份验证、集成windows身份验证、证书身份验证、匿名身份验证。 集成Windows身份验证 所谓集成Windows身份验证，就是在访问某一网络或本地主机的时候，Windows的用户名和密码要是与被查看的主机所需要的用户名和密码相同，就可以直接访问，否则，需要手工输入用户名和密码后才能访问。如下图所示。 联系方式： 北京源智天下科技有限公司 第四十六讲：Web应用程序的安全性 讲师：周红安 E-mail:jtclass@163.com 天道酬勤,有耕耘就会有收获 祝读者们学习愉快 Oracle Database 10g: Administration Workshop II 1-*