如果你要使用ASP.NET 应用程序在某个位置以用作数据库登录凭据,请安全地存储它们。如果可行,请对它们进行加密或计算哈希值……在攻击者可访问数据或系统资源之前将其阻止,以此可创建安全的用户界面来防止出现许多问题。 在构建访问数据的应用程序时,除非能够证明其不为恶意输入,ASP.NET 应用程序否则您应该假定所有用户输入均为恶意输入。如果未能实现此目的,则可能会使您的应用程序易于受到攻击。。NET Framework 包含的类可帮助您约束输入控件的值的域。
如限制可输入字符的数目。使用事件挂钩,您可以编写用于检查值的有效性的程序。可验证和强类型化用户输入数据,从而限制应用程序对脚本和 SQL 注入攻击的公开程度。
ASP.NET 应用程序通常需要限制对 Web 站点某些部分的访问,并提供其他数据保护机制和站点安全机制。这些链接可提供用于保护 ASP.NET 应用程序的有用信息。XML Web services 能够提供可由 ASP.NET 应用程序、Windows 窗体应用程序或其他 Web 服务使用的数据。您需要管理 Web 服务自身的安全性以及客户端应用程序的安全性。
果恶意用户可以使用简单方法进入您的计算机,即使是最精心设计的应用程序安全性也会失败。常规 Web 应用程序安全性建议包括以下内容:经常备份数据,并将备份存放在安全的场所。将您的 Web 服务器放置在安全的场所,使未经授权的用户无法访问它、关闭它、带走它,等等。
使用 Windows NTFS 文件系统,不使用 FAT32。NTFS 的安全性比 FAT32 高得多。有关详细信息,请参见 Windows 帮助文档。使用不易破解的密码,保护 Web 服务器和同一网络上的所有计算机的安全。
遵循用于确保 Internet 信息服务 (IIS) 安全的最佳做法。有关详细信息,ASP.NET 应用程序请参见“Windows Server TechCenter for IIS”(用于 IIS 的 Windows Server TechCenter)。关闭任何不使用的端口并关闭不使用的服务。运行监视网站通信量的病毒检查程序。
使用防火墙。有关建议,请参见 Microsoft 安全网站上的“Microsoft Firewall Guidelines”(Microsoft 防火墙准则)。了解和安装来自 Microsoft 和其他供应商的最新安全更新。使用 Windows 事件日志记录,并且经常检查这些日志,以查找可疑活动。ASP.NET 应用程序这样的活动包括:反复尝试登录您的系统,以及向您的 Web 服务器发出数量巨大的请求。
发表回复