当前页面位置: » 丰搜网 » 文档中心 » 详细内容
利用asp.net的内置功能抵御web攻击(8)
数据库角度
sql 注入是另一种广为人知的攻击类型,它利用的是使用未筛选的用户输入来形成数据库命令的应用程序。如果应用程序兴高采烈地使用用户键入表单域中的内容来创建 sql 命令字符串,就会将您暴露在这一风险下:恶意用户只需访问该页并输入欺诈参数,就可以修改查询的性质。您可以在此处了解更多有关 sql 注入的信息。
要阻止 sql 注入攻击,有许多方法。以下介绍最常见的技巧。
• 确保用户输入属于适当的类型,并遵循预期的模式(邮政编码、身份证号,电子邮件等)。如果预期来自文本框的数字,请在用户输入无法转换为数字的内容时阻止该请求。
• 使用参数化的查询,使用存储过程更好。
• 使用 sql server 权限来限制各个用户可以对数据库执行的操作。例如,您可能需要禁用 xp_cmdshell 或者将该操作的权限仅限于管理员。
如果使用存储过程,可以显著降低发生这种攻击的可能性。实际上,有了存储过程,您就无需动态地撰写 sql 字符串。此外,sql server 中将验证所有参数是否具有指定的类型。虽然光是这些并不是百分百安全的技巧,但是加上验证的话,将足以提高安全性。
更为重要的是,应确保只有经过授权的用户才能够执行可能具有严重后果的操作,如删除表。这要求认真仔细地设计应用程序的中间层。好的技巧(不光是为了安全性)应把焦点集中在角色上。应当将用户分组为各种角色,并为各个角色定义一个包含一组最少的权限的帐户。
几周前,wintellect web 站点受到一种很复杂的 sql 注入的攻击。那位黑客试图创建并启动一个 ftp 脚本来下载一个可能是恶意的可执行程序。幸运的是,这次攻击失败了。或者,其实是强用户验证,使用存储过程和使用 sql server 权限,导致了攻击未能成功?
总而言之,您应当遵循这些指南,以避免被注入有害的 sql 代码:
• 使用尽可能少的权限运行,永远不以“sa”身份执行代码。
• 将访问限制给内置的存储过程。
• 首选使用 sql 参数化查询。
• 不通过字符串串连来生成语句,不回显数据库错误。
返回页首
隐藏域
在传统的 asp 中,隐藏域是唯一一种在请求之间保持数据的方法。您需要在下一个请求中检索的任何数据都被打包到隐藏的 <input> 域中,并执行回程。如果有人在客户端上修改了该域中存储的值,会怎样?只要文本是明文的,服务器端环境就无法测知这一情况。asp.net 中,页和各个控件的 viewstate 属性有两个用途。一方面,viewstate 是跨请求保持状态的方法;另一方面,viewstate 使您能够在受保护的、不易篡改的隐藏域中存储自定义值。
如图 2 所示,视图状态被附加了一个哈希值,对于每条请求,都会检查该值,以检测是否发生了篡改。除少数几种情况外,没有任何理由要在 asp.net 中使用隐藏域。视图状态能够以安全得多的方式实现相同的功能。前面开门见山地讲到过,在明文的隐藏域中存储敏感的值(如价格或信用卡详细信息),相当于对黑客张开大门;视图状态甚至能够使这种不好的做法比以前更为安全,因为视图状态具有数据保护机制。但是,请牢记,视图状态可以防止篡改,但是并不能保证保密性,除非使用加密 — 存储在视图状态中的信用卡详细信息无论如何都有风险。
在 asp.net 中,哪些情况下使用隐藏域是可接受的?当您生成需要将数据发送回服务器的自定义控件时。例如,假定您要创建一个支持重派列顺序的新 datagrid 控件。您需要在回发中将新的顺序发送回服务器。如果不将这些信息存储到隐藏域中,又可以存储到哪里?
如果隐藏域为读/写域,即预期客户端会写入它,没什么办法能够完全制止黑客攻击。您可以尝试哈希或者加密该文本,但这并不能让您合理地确信不会遭受黑客攻击。此时,最好的防御就是让隐藏域包含惰性和无害的信息。
此外,应当注意 asp.net 公开了一个鲜为人知的类,可用于编码和哈希任何序列化的对象.该类为 losformatter,viewstate 实现用于创建回程到客户端的编码文本正是同一个类。
private string encodetext(string text) {
stringwriter writer = new stringwriter();
losformatter formatter = new losformatter();
formatter.serialize(writer, text);
return writer.tostring();
}
前面的代码片段演示了如何使用 losformatter 来创建类似视图状态的内容,对其编码并进行哈希。
