首页 电脑 电脑学堂 查看内容

构建安全的数据访问

2005-2-22 06:19 427 0

摘要: 来源:微软中国 本单元概要 数据访问是从 ASP.NET Web 应用程序使用几个 ADO.NET 数据提供程序中的一个访问数据库的过程。 数据库是应用程序级攻击的主要目标。攻击者使用应用程序...
关键词: 单元 数据 安全 8226 数据库 代码 应用程序 程序 保护 对策

来源:微软中国 本单元概要 数据访问是从 ASP.NET Web 应用程序使用几个 ADO.NET 数据提供程序中的一个访问数据库的过程。 数据库是应用程序级攻击的主要目标。攻击者使用应用程序级攻击,以利用您的数据访问代码中的缺陷,获取未授权的数据库访问权限。如果所有其他受攻击区域都关闭了,则应用程序的前门 — 端口 80,将成为攻击者窃取、操纵和破坏数据的路径选择。 本单元说明了如何构建安全的数据访问代码,并避免常见的缺陷和失误。本单元提出了一系列对策和防范技术,可以用在数据访问代码中减轻与数据访问有关的一些最大威胁。 目标 使用本单元可以: • 设计、构建和部署安全的数据访问代码。 • 使用代码访问安全和基于角色的安全限制未授权的调用方或者代码进行访问。 • 安全地对用户进行身份验证。 • 防止 SQL 注入攻击。 • 保护数据库连接字符串。 • 使用加密保护存储在数据库中的数据。 • 保护跨网络发送到数据库和来自数据库的数据。 • 安全地将密码(与带 salt 值的散列值一起)存储在数据库中。 • 实现安全的异常处理。 • 了解如何使用代码访问安全以允许中度信任的 Web 应用程序使用 OLE DB、Oracle 和 ODBC 数据提供程序(这些数据提供程序要求完全信任)。 • 了解可用于应对常见的数据访问威胁(包括 SQL 注入、配置数据的泄漏、敏感应用程序数据的泄漏、数据库架构和连接详细信息的泄漏、未授权的访问和网络侦听)的对策。 适用范围 本单元适用于下列产品和技术: • Microsoft® Windows® Server 2000 和 Windows Server™ 2003 操作系统 • Microsoft .NET Framework 1.1 和 ASP.NET 1.1 • Microsoft SQL Server™ 如何使用本单元 要想充分利用本单元,请在本单元之前或者结合本单元阅读以下单元: • 阅读“威胁与对策”单元。此单元能使您对 Web 应用程序所面临的潜在威胁和对策有更广和更深的理解。 • 阅读“安全 Web 应用程序设计指南”单元。此单元中,您将了解构建安全解决方案的体系结构、设计挑战和指导。 • 阅读“保护数据库服务器”单元。阅读此单元可理解如何保护数据库服务器。 • 阅读“构建安全的程序集”单元。此单元中有关构建安全的程序集和开发安全托管代码的指导和推荐实践,应该也适用于数据访问代码。 • 使用评估单元。要在产品生存期的不同阶段审查数据访问的安全,请参考以下单元中的 Web 服务部分:“安全的体系结构和设计审查”、“安全代码审查”和“安全部署审查”。 • 使用核对表。“核对表:保护数据访问的安全”包括一个易于参考的核对表。可以将这个基于任务的核对表用作本单元中推荐实践的一个总结。 请注意在当前版本的 .NET Framework (1.1) 中,只有 ADO.NET SQL Server 数据访问提供程序支持部分信任调用方,可安全地用于部分信任 Web 应用程序。OLE DB、Oracle 和 ODBC ADO.NET 数据提供程序都要求完全信任。 本页内容 本单元概要 目标 适用范围 如何使用本单元 威胁与对策 设计注意事项 输入验证 SQL 注入 身份验证 授权 配置管理 敏感数据 异常管理 构建安全的数据访问组件
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部