开发安全的Web应用案例分析1.ppt

开发安全的Web应用案例分析,Name Title Microsoft,日程安排,Microsoft Reference Application for OpenHack (MRAO) 速览 系统架构 应用系统的安全性 Forms认证 输入项的有效性验证 数据访问 数据保护 错误处理及日誌,什么是OpenHack?,由eWEEK资助的安全性竞赛（ Oct. 22 to Nov. 8, 2002 ） 谁能构建最安全的抵御黑客攻击的Web应用 参赛者搭建符合eWEEK规范的Web应用 eWEEK邀请所有的志愿者来攻击该网站 2002年参赛者: Microsoft，Oracle等,i,/article2/0,3959,741388,00.asp,Microsoft Reference Application for OpenHack,Microsoft从2002年起参与竞赛 抵御了80,000+以上的攻击而没有丝毫的安全性漏洞 该应用由Vertigo Software和 Microsoft编写 自比赛以来代码已得到了更新 可以从网上得到最新的版本 如何构建安全应用的最佳范例,速览,应用架构,Awards Database,ASP.NET,信息确认层,数据访问层,数据保护层,IIS,Public,Registry,DPAPI,匿名访问,Forms认证 URL 认证,信任连接,Windows 认证,Decryption keys,Connection strings etc.,Private,SQL许可,Forms认证,Two-tiered 目录结构 根目录包含 “public” 页面 (包括login page) “Secure” 子目录包含了需要登陆的所有页面 Forms 认证 cookie 永远使用临时cookie,而不使用永久cookie 30-minute time-out 设置Cookie path 到应用系统的根目录,Forms 认证,输入有效性确认（Input Validation）,客户端用户输入均由 validation controls确认 服务器端输入和输出均由 validation layer进行清洗,Pages,All Input,清洗,Other Input,Validation Controls,User Input,Output,HTML-Encode,CleanString,Input Validation,Awards 数据结构,Awards 数据安全,用户 用户: webuser (Windows principal) 映射该用户为 ASP.NET 工作用户 存储过程 30 stored procedures Used for all interaction with database 用户许可 用户webuser允许调用所有的存储过程 “public”用户没有分配任何权限,数据访问（Data Access）,多级数据访问层 所有访问均使用存储过程 所有访问均有用户webuser执行 采用Windows信任认证方式建立SQL Server连接 数据库联接串采用 DPAPI进行加密并保存于 ACLed registry key中,数据访问策略,Awards Database,数据访问层,Pages,业务逻辑层,DbHelper,SqlHelper,安全的数据访问,数据保护（Data Protection）,Registry安全 HKLMSoftwareMicrosoftOpenHack4 DPAPI加密的数据库联接串 DPAPI加密的crypto 解码匙 DPAPI加密的crypto初始化向量（ initialization vector IV） DPAPI entropy value ACL 授权admins and SYSTEM帐号完全控制权限, 而对ASP.NET worker process赋予只读权限 Database安全 用户密码的加密保存 信用卡号的加密保存,数据保护策略,CryptUtil,Pages,DataProtection,NativeMethods,DPAPI,数据保护层,注册表（Registry）,业务逻辑,错误处理及日誌,默认的错误页面 默认错误被定向到 Error.aspx 提供对错误的普通处理 应用系统级Error 未经处理的例外将被写入Windows event日誌 其中包括了stack trace 和其他丰富的错误信息 错误登陆 在 Windows event日志中记录登陆信息 有助于诊断分析和入侵检测,错误处理和日誌,总结,MRAO 清洗和输入确认 MRAO 安全数据访问 MRAO 加密敏感信息 MRAO 使用forms认证和URL授权 MRAO 安全的处理错误以及适当的日誌 MRAO 是一个安全的应用!,附加资源,Improving Web Application Security,Building Secure ASP.NET Applications,/security/default.aspx?pull= /library/en-us/dnnetsec/html/threatcounter.asp,/security/default.aspx?pull= /library/en-us/dnnetsec/html/secnetlpmsdn.asp, 2003-2004 Microsoft Corporation. All rights reserved