开发安全的Web应用案例分析.ppt.ppt

开发安全的Web应用案例分析
Name
Title
Microsoft
日程安排
Microsoft Reference Application for OpenHack (MRAO)
速览
系统架构
应用系统的安全性
Forms认证
输入项的有效性验证
数据访问
数据保护
错误处理及日誌
什么是OpenHack?
由eWEEK资助的安全性竞赛( Oct. 22 to Nov. 8, 2002 )
谁能构建最安全的抵御黑客攻击的Web应用
参赛者搭建符合eWEEK规范的Web应用
eWEEK邀请所有的志愿者来攻击该网站
2002年参赛者: Microsoft,Oracle等
i
icle2/0,3959,741388,
Microsoft Reference Application for OpenHack
Microsoft从2002年起参与竞赛
抵御了80,000+以上的攻击而没有丝毫的安全性漏洞
该应用由Vertigo Software和 Microsoft编写
自比赛以来代码已得到了更新
可以从网上得到最新的版本
如何构建安全应用的最佳范例
速览
应用架构
Awards
Database
信息确认层
数据访问层
数据保护层
IIS
Public
Registry
DPAPI
匿名访问
Forms认证
URL 认证
信任连接
Windows
认证
Decryption
keys
Connection
strings etc.
Private
SQL许可
Forms认证
Two-tiered 目录结构
根目录包含“public”页面(包括login page)
“Secure”子目录包含了需要登陆的所有页面
Forms 认证 cookie
永远使用临时cookie,而不使用永久cookie
30-minute time-out
设置Cookie path 到应用系统的根目录
Forms 认证
输入有效性确认(Input Validation)
客户端用户输入均由 validation controls确认
服务器端输入和输出均由 validation layer进行清洗
Pages
All Input
清洗
Other Input
Validation
Controls
User Input
Output
HTML-Encode
CleanString