第5卷第 年8月电脑知识 22期and (2009 ) 与技术 Computer Knowledge Technology Vol.5,No.22,August2009,pp.6181-6183
ISSN1009-3044
E-mail:3710167@qq.com 电脑知识与技术 ComputerKnowledgeandTechnology dnzs.net Tel:+86-551-56909635690964
基于ASP.NET的网站设计安全问题研究
周维霞1,罗刚2
(1.桂林电子科技大学附属中学,广西桂林541004;2.广西师范大学教育科学,广西桂林541004)
摘要:在基于ASP.NET开发网站过程中,网站安全是一个较为复杂的问题。针对隐藏域保护、恶意脚本注入攻击、SQL注入攻击以 及数据库安全保护等问题进行了深入的分析和研究,给出了相应的安全配置策略,并提出了具体的程序
设计技巧,降低了黑客入侵 网站的机率,提高了网站的安全性。 关键词:ASP.NET;网站安全;注入攻击 中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2009)22-6181-03
TheResearchonSecurityofWebsiteDesignBasedonASP.NET ZHOUWei-xia1,LUOGang2 (1.SubsidiarySchool,GuilinUniversityofElectronicTechnology,Guilin541004,China;2.InstituteofEducationalScience,GuangxiNormal University,Guilin541004,China) Abstract:BasedonASP.NETdevelopmentwebsite,thesitesecurityisamorecomplexissue.Hiddenfieldtoprotectagainstmalicious scriptinjectionattacks,SQLinjectionattacksanddatabasesecurityissuessuchasanin-depthanalysisandresearch,giventheappropriate securityconfigurationstrategies,aswellasspecificprogramdesigntechniques,reducingthehackingsitechancetoimprovethesecurityof thesite. Keywords:ASP.NET;
websitesecurity;injectionattack Web服务应用正在爆炸式增长,越来越多的应用被推出到防火墙之外,安全性脆弱的Web应用面临的风险也有增无减。同时, 随着ASP.NET技术的不断发展,基于ASP.NET的动态网页被越来越多的用户所使用。但是由于在动态网页页面中需要用户输入许 多资料和数据与之交互,而用户输入的信息不可预测,如果开发人员用ASP.NET编写动态Web网页时,考虑不够周全,安全意识不
强,则会造成程序不够稳健,再加上所使用的数据库本身就存在漏洞,在用户有意或无意的交互下,就可能会造成对网站的攻击、破 坏。
1基于ASP.NET的网站安全问题分析及防范措施
1.1保护隐藏域的安全
在ASP.NET应用中,几乎所有HTML页面的_VIEWSTATE隐藏域中都可以找到有关应用的信息。攻击者可以方便地解码 BASE64数据,从而得到_VIEWSTATE中提供的详细资料,达到窃取用户资料的目的。 要解决这个问题,需要设置EnableViewStatMAC=“true”,启用_VIEWSTATE数据加密功能。然后,将machineKey验证类型设 置为DES,要求ASP.NET用3DES对称加密算法加密VIEWSTAT数据。
1.2恶意脚本注入攻击问题
恶意脚本注入指用户将恶意的脚本代码输入到网页文本框控件中,如“