Web应用系统安全指导
需积分: 3 4 浏览量
2009-04-17
14:44:45
上传
评论
收藏 173KB DOC 举报
Web 应用系统基本安全
安全性建议
经常备份数据,并将备份存放在安全的场所。
将您的
Web
服务器放置在安全的场所,使未经授权的用户无法访问它、关闭它、带走它,等等。
使用
Windows NTFS
文件系统,不使用
FAT32
。
使用不易破解的密码,保护
Web
服务器和同一网络上的所有计算机的安全。
遵循用于确保
Internet
信息服务
(IIS)
安全的最佳做法。
关闭任何不使用的端口并关闭不使用的服务。
运行监视网站通信量的病毒检查程序。
使用防火墙。
了解和安装来自
Microsoft
和其他供应商的最新安全更新。
使用
Windows
事件日志记录,并且经常检查这些日志,以查找可疑活动。
使用最少特权运行应用程序
不要以系统用户(管理员)身份运行应用程序。
在具有最少实用特权的用户上下文中运行应用程序。
设置应用程序所需的所有资源上的权限(
ACL
或访问控制列表)。
将您的
Web
应用程序的文件保存在应用程序根目录下的一个文件夹中。不要让用户指定在应用程
序中进行文件访问的路径。这样有助于防止用户访问服务器的根目录。
防止恶意用户的输入
对窗体变量、查询字符串变量和
Cookie
值执行参数验证。该验证应包括两种类型的验证:可以将
变量转换为所需类型(如转换为整数、日期时间等)的验证,以及所需范围或格式的验证。例
如,应该使用
System.Int32.TryParse
方法来检查应为整数的窗体发送变量,以验证该变量
是否确实为整数。而且,还应该检查得到的整数,以验证该值是否在所需值范围之内。
将值写回响应时,向字符串输出应用
HTML
编码。这有助于确保用户提供的所有字符串输入将以静
态文本形式呈现在浏览器中,而不是呈现为可执行的脚本代码或已解释的
HTML
元素。
决不将未经筛选的用户输入存储在数据库中。
在窗体中,筛选用户输入以查找
HTML
标记,其中可能包含脚本。
决不回显(显示)未经筛选的用户输入,防止回显带有
html
或脚本的输入。
安全地访问数据库
请使用
Windows
集成安全性以便只有
Windows
授权的用户才能访问数据库
创建参数化查询并使用用户输入设置参数值
数据库连接字符串,密码和用户名采用加密的方式存储。
创建安全的错误消息
如果您不小心,恶意用户就可以从应用程序显示的错误消息推断出有关您的应用程序的重要信息。
不要编写会回显可能对恶意用户有用的信息(例如用户名)的错误消息。
将应用程序配置为不向用户显示详细错误。
使用
customErrors
配置元素控制谁可以查看服务器发出的异常。
对于容易发生错误的情况(如数据库访问)创建自定义错误处理方式。
保证敏感信息的安全
安全信息的传输采用
SSL
重要的配置文件信息,尽量通过加密的方式存储。
安全地使用 Cookie
资源评论
