web站点..ppt

web站点.Web站点孙一波******@FW、Windows2000高级服务器,,500次攻击而没有受损。本PPT介绍了该方案是怎样建立和配置的,技术的高安全性的网站。IndexOpenHackDeepProtectionIISSqlServerWin2000ServerIpsecPasswordOpenHack2003年,的eWeek实验室举办了第四个OpenHack在线安全比赛。比赛设计为系统暴露给Web真实世界来测试企业安全性。eWeek给了微软和甲骨文公司各一个简单的Web应用程序,并要求他们用各自的技术重新开发该应用程序。接着所有美国人都被邀请来攻击该结果网站以获取奖金。可接受的破坏包括跨站脚本攻击、动态Web页面源代码泄密、Web页面毁坏、向数据库发送恶意的SQL命令、盗取数据库使用的信用卡数据。微软的解决方案: .NETFramework++SqlServer2000+Windows2000ADS结果:微软的方案抵抗住了82,500攻击并没有受损。DeepProtection深度保护:在应用程序的不同层次执行了不同类型的验证,目的是确认代码之外的输入(如用户输入)不能被用于改变应用程序的行为。类提供了几种认证用户的选择,包括windows认证、基于窗体认证、.NETPassport、客户证书等等。根据eWeek的要求,为OpenHack方案选择了基于窗体的或自定义的认证。当用户通过窗体认证登录时,会建立以一个加密的cookie(Session)用于贯穿整个站点跟踪该用户(cookie是一个Web站点产生的文本字符串,它进入用户Web浏览器的存储空间,目的是识别用户是否浏览了该站点)。如果用户没有登录并请求一个受保护的页面,他将被重定向到登录页面。<>段下面添加下述的代码用于请求基于窗体的认证和指定登录页面的位置:<authenticationmode="Forms">   <formsloginUrl=“”name=“app"/></authentication>。该文件只适用于应用程序的几个选定的页面防止未认证的用户(如anonymous)访问它们。。<?xmlversion=""encoding="utf-8"?><configuration>    <>    <authorization>      <denyusers="?"/>   </authorization> </></configuration>,未认证的用户仅仅能访问主页和很少几个页面,但认证用户有更多的权限,可以访问站点上需要用户帐号的页面。登录页面接收用户名和密码的字段并通过SSL把它们发回到Web服务器,SSL防止凭证在网络中传递时他人“窃取”凭证。当用户建立新账号时,新密码将使用TripleDES算法加密,并同用户名一起保存到数据库中。下次登录后,。该cookie将传到用户并保存在用户的浏览器中直到超时为止。接着用户就可以向Web站点发送进一步的请求。所有传递包括cookie都使用SSL处理来防止“重播”攻击,在这种攻击中攻击者从网络中截取cookie并使用这些信息模仿用户。