彻底解决netsurveillance web

1、彻底解决netsurveillance web 彻底解决netsurveillance web 一、 Web应用程序架构平安隐患 1. 对于程序集主要威逼：未验证的访问、反向工程、代码注入、通过特别获得程序信息、未审核访问。 2. 客户端与Web应用程序之间的平安隐患：代码注入（跨站点脚本或缓冲区溢出攻击）、网络监控（密码和敏感应用程序数据探测）、参数破解（表单字段、查询字符串、Cookie、视图状态、HTTP头信息）、会话状态变量ID取得、信息猎取（通常用法特别）。 3. Web应用程序客户端与企业服务之间的平安隐患：非审核访问、破解配置数据、网络监视、未约束代理、数据复制。 4. Web服

2、务客户端及其服务之间的平安隐患：非审核访问、参数破解、配置数据取得、网络监、消息回复。 5. Remoting客户端及服务器之间的平安隐患：非审核访问、参数破解、序列化、网络监控。 6. 客户端到数据之间的平安隐患：非审核访问、SQL注入、破解数据模型和链接具体信息、网络监控、破解配置数据、破解面干应用程序数据。 * 平安架构留意事项 1. 在扫瞄器认证用户； 2. 在扫瞄器和防火墙通路中1)爱护敏感数据2)阻挡参数破解3)阻挡会话攻击和Cookie回复攻击 3. 在Web应用程序侧1)供应平安配置2)处理特别3)审核用户4)验证输入 4. 应用程序服务器1)认证和审核上传身份2)审核并记录活

3、动和事务 5. 在应用程序服务器和数据库间爱护敏感数据 6. 数据库中加密或者哈希加密敏感数据 二、 Web应用程序平安性隐患防治方法 1. 防止跨站点脚本攻击（Cross-Site Scripting Attack） 攻击方法：在页面通过输入脚本或HTML内容猎取敏感数据。 威逼指数：6 攻击结果：应用程序拒绝服务或重启，获得错误堆栈信息（）猜测代码进行下一步攻击。 注：在配置文件中假如未关闭CustomErrors则可能导致在消失系统特别时显示错误行代码或数据库连接字符串，泄漏配置数据，造成危急隐患。 预防措施：控件验证或服务器端输入验证。 采纳客户端验证和服务器端验证结合的方式对用户输入

4、进行验证，通过比较控件输入和其HTML译码值的全都性确认输入字符串中是否含有HTML特别符号，以此作为依据转化HTML特别符号，防止脚本在回发表示时触发。 2. 防止SQL注入攻击（SQL Injection Attack） 攻击方法：通过画面输入或URL参数修改，利用其作为SQL查询条件的特别性，将输入SQL文注入并返回结果的攻击。 威逼指数：9 攻击结果：可查询敏感数据并可修改系统数据。 预防措施：在数据更新和查询时用法数据库参数对象或用法自定义方法转换输入参数，以使注入SQL文失效。 3. 验证用户输入 通过客户端验证为主、服务器端验证为辅（当禁用客户端Javascript时服务器端验证

5、就尤为重要） 客户端验证主要负责验证用户输入的类型、长度、关联关系的验证（此功能由系统扩展控件供应）； 服务器端验证分为两部分： 1) 输入验证 输入验证需要对用户输入文字的HTML特别字符进行验证，含有特别字符的要抛出系统错误；数据的长度掌握尽量在画面通过控件的允许输入长度进行掌握； 2) 数据验证 验证数据类型、长度等；此验证行为在对象上进行。 4. 用法Hash算法保存密码 用法 Membership管理用户，用户密码用法Hash算法和Salt加密，平安性高； 对于其它需要保存的密码，系统基础结构将供应Hash加密算法进行不行反向加密，作为验证凭据，或者先取先用不保存在数据存储中。 5.

6、 数据平安性 1) 加密敏感数据：基础结构应供应Hash加密算法支持数据加密。 2) XML数据平安性：防止XML数据攻击。 攻击方法：XPath注入和XXE（扩展XML实体）注入攻击。 威逼指数：8 攻击结果：获得XML文件信息。 预防措施：不在XML中保存敏感信息，全部配置文件中的敏感信息需要加密保存，对于要写入XML的数据应先通过验证。 3) ViewState数据平安性：防止从ViewState猎取敏感数据。 攻击方法：通过解码ViewState获得敏感信息。 威逼指数：6 攻击结果：获得ViewState中的敏感信息。 预防措施：禁用ViewState或避开，用法简洁控件采纳加密方式

7、保存敏感信息。 关联问题：用法JSON字符串时留意敏感数据的处理。 6. 存储平安信息到注册表和配置文件 掌握远程用户对配置文件的访问权限，爱护配置文件中的敏感数据。 7. 再发布前修正配置文件 为防止错误堆栈信息猜测以及通过其它信息查获手段进行攻击， Web应用程序在发布前应对配置文件进行修正。 错误堆栈信息猜测攻击 攻击方法：造成系统特别，通过错误页上的堆栈信息猜测代码进行下一步攻击。 威逼指数：6 攻击结果：猜测系统版本和代码规律。 预防措施：捕获系统特别用法统一页面进行处理不表示错误堆栈信息，将自定义错误节点设置为customErrors mode=”Off” /即可防止错误信息表示给

8、远程用户；同时应关闭调试开关compilation defaultLanguage=”vb” debug=”false” /防止通过调试信息泄漏源代码或进行代码注入。 同时应当关闭Trace优化性能并防止方法攻击者利用Trace猜测代码执行过程和具体内容： trace enabled=”false”requestLimit=”10”pageOutput=”false”traceMode = ”SortByTime” / 对于Web服务要防止远程用户利用WSDL描述进行猜测攻击。 攻击方法：访问Web服务WSDL文件，获得Web服务相关信息。 威逼指数：4 攻击结果：获得Web服务方法描述，猜测Web服务参数，进行下一步攻击。 预防措施：在配置文件中指定不表示Web方法描述内容，配置文件改修如下： webServices protocols remove name=Documentation/ /protocols /webServices 8. 用法Session但不用法Cookieless的Sessi