开发安全的Web应用案例分析讲解.ppt

开发安全的Web应用案例分析 日程安排 Microsoft Reference Application for OpenHack (MRAO) 速览 系统架构 应用系统的安全性 Forms认证 输入项的有效性验证 数据访问 数据保护 错误处理及日誌 什么是OpenHack? 由eWEEK资助的安全性竞赛（ Oct. 22 to Nov. 8, 2002 ） 谁能构建最安全的抵御黑客攻击的Web应用 参赛者搭建符合eWEEK规范的Web应用 eWEEK邀请所有的志愿者来攻击该网站 2002年参赛者: Microsoft，Oracle等 Microsoft Reference Application for OpenHack Microsoft从2002年起参与竞赛 抵御了80,000+以上的攻击而没有丝毫的安全性漏洞 该应用由Vertigo Software和 Microsoft编写 自比赛以来代码已得到了更新 可以从网上得到必威体育精装版的版本 如何构建安全应用的最佳范例 速览 应用架构 Forms认证 Two-tiered 目录结构 根目录包含 “public” 页面 (包括login page) “Secure” 子目录包含了需要登陆的所有页面 Forms 认证 cookie 永远使用临时cookie,而不使用永久cookie 30-minute time-out 设置Cookie path 到应用系统的根目录 Forms 认证 输入有效性确认（Input Validation） 客户端用户输入均由 validation controls确认 服务器端输入和输出均由 validation layer进行清洗 Input Validation Awards 数据结构 Awards 数据安全 用户 用户: webuser (Windows principal) 映射该用户为 ASP.NET 工作用户 存储过程 30 stored procedures Used for all interaction with database 用户许可 用户webuser允许调用所有的存储过程 “public”用户没有分配任何权限 数据访问（Data Access） 多级数据访问层 所有访问均使用存储过程 所有访问均有用户webuser执行 采用Windows信任认证方式建立SQL Server连接 数据库联接串采用 DPAPI进行加密并保存于 ACLed registry key中 数据访问策略 安全的数据访问 数据保护（Data Protection） Registry安全 HKLM\Software\Microsoft\OpenHack4 DPAPI加密的数据库联接串 DPAPI加密的crypto 解码匙 DPAPI加密的crypto初始化向量（ initialization vector [IV]） DPAPI entropy value ACL 授权admins and SYSTEM帐号完全控制权限, 而对ASP.NET worker process赋予只读权限 Database安全 用户密码的加密保存 信用卡号的加密保存 数据保护策略 错误处理及日誌 默认的错误页面 默认错误被定向到 Error.aspx 提供对错误的普通处理 应用系统级Error 未经处理的例外将被写入Windows event日誌 其中包括了stack trace 和其他丰富的错误信息 错误登陆 在 Windows event日志中记录登陆信息 有助于诊断分析和入侵检测 错误处理和日誌 总结 MRAO 清洗和输入确认 MRAO 安全数据访问 MRAO 加密敏感信息 MRAO 使用forms认证和URL授权 MRAO 安全的处理错误以及适当的日誌 MRAO 是一个安全的应用! 附加资源 Name Title Microsoft i /article2/0,3959,741388,00.asp Awards Database ASP.NET 信息确认层 数据访问层 数据保护层 IIS Public Registry DPAPI 匿名访问 Forms认证 URL 认证 信任连接 Windows 认证 Decryption keys Connection strings etc. Private SQL许可 Pages All Input 清洗 Other Input Validation Controls User Input Output HTML-Encode CleanString Awards Database 数据访问层 Pages 业务逻辑层 CompanyInfo CreditCardInfo ProductInfo StatesInfo UserInfo