开发安全的Web应用案例分析ppt课件.ppt

开发安全的Web应用案例分析
Name
Title
Microsoft
日程安排
Microsoft Reference Application for OpenHack (MRAO)
速览
系统架构
应用系统的安全性
Forms认证
输入项的有效性验证
数据访问
数据保护
错误处理及日誌
什么是OpenHack?
由eWEEK资助的安全性竞赛( Oct. 22 to Nov. 8, 2002 )
谁能构建最安全的抵御黑客攻击的Web应用
参赛者搭建符合eWEEK规范的Web应用
eWEEK邀请所有的志愿者来攻击该网站
2002年参赛者: Microsoft,Oracle等
i
icle2/0,3959,741388,
Microsoft Reference Application for OpenHack
Microsoft从2002年起参与竞赛
抵御了80,000+以上的攻击而没有丝毫的安全性漏洞
该应用由Vertigo Software和 Microsoft编写
自比赛以来代码已得到了更新
可以从网上得到最新的版本
如何构建安全应用的最佳范例
Forms认证
Two-tiered 目录结构
根目录包含“public”页面(包括login page)
“Secure”子目录包含了需要登陆的所有页面
Forms 认证 cookie
永远使用临时cookie,而不使用永久cookie
30-minute time-out
设置Cookie path 到应用系统的根目录
Forms 认证
输入有效性确认(Input Validation)
客户端用户输入均由 validation controls确认
服务器端输入和输出均由 validation layer进行清洗
Pages
All Input
清洗
Other Input
Validation
Controls
User Input
Output
HTML-Encode
CleanString