基于ASP.NET架构Web应用的安全性研究及应用

摘要

基于互联网的Web应用发展迅速，尤其是随着微软加入了开源的大军后，基于ASP.NET架构的Web应用发展更是如雨后春笋般迅速。但Web应用程序的安全性却一直被人们忽略，或者通常被当作网络安全问题。应用程序架构师和开发人员将安全性看作事后处理的任务，或在时间允许的情况下(通常是在解决性能问题之后)才考虑安全性要求。面对一系列的安全性事件，Web应用程序的安全性是应该被提到议事日程上来了。
　　 本文就ASP.NET Web应用程序安全性及在实际中的应用进行了详细的探讨。研究了基于ASP.NET架构的应用程序的安全性基本原理以及它所面临的威胁。结合作者所参与的“企业门户网站信息平台建设”，对ASP.NETA安全行进行分析，并在此基础上，提出了可行的解决方案。研究工作主要涉及以下方面：
　　 1、本文对ASP.NET安全技术作了详细阐述，分析了“企业门户网站信息平台建设”项目的安全问题，提出了解决跨站脚本攻击、HTTP响应拆分攻击及SQL注入攻击的方法；
　　 2、实现了基于角色的Forms身份认证与USBKey认证结合的统一身份认证系统，并且在项目中成功实施。在此基础上实现了“企业门户网站信息平台建设”并完成了安全性改造。
　　 3、提出了存储敏感数据的方法，实现了使用带有salt的哈希值对敏感数据加密的算法。

目录

文摘

英文文摘

声明

第一章 引言

1.1 选题背景

1.2 ASP.NET架构的Web应用技术背景

1.3 国内外研究现状

1.4 论文结构安排

第二章 Web应用程序安全威胁概述

2.1 Web应用程序安全项目要素

2.1.1 Cross Site Scripting(XSS)跨站点脚本攻击

2.1.2 SQL注入(SQL Injection)攻击

2.1.3 HTYP响应拆分(HTTP Response Splitting)攻击

2.2.ASP.NET安全性基本原理

2.2.1 ASP.NET中安全结构

2.2.2 ASP.NET中安全的身份验证

第三章 Web应用程序技术框架

3.1 AJAX技术框架

3.2 DHTML技术框架

3.3 HTML标签

3.4 JavaScript脚本

3.5 XML文档

第四章 构建安全的Web应用程序

4.1 Web应用程序面临的安全威胁

4.1.1 ASP.NET页面和控件面临的威胁和对策

4.1.2 Web服务面临的威胁和对策

4.1.3 Web数据访问面临的威胁和对策

4.1.3 Web服务器面临的威胁和对策

4.2 输入验证

4.3 身份验证及授权

4.3.1 Web表单身份认证

4.3.2 Web服务身份认证

4.3.3 连接数据库身份认证

4.4 异常处理

4.4.1 Web页面异常处理

4.4.2 Web服务异常处理

4.4.3 数据库异常管理

4.5 敏感数据

4.5.1 Web应用程序中的敏感数据

4.5.2 Web服务中的敏感数据

4.5.3 数据库中的敏感数据

4.6 最基本的安全建议

4.7 热点漏洞安全建议

4.7.1 XSS攻击

4.7.2 SQL注入

4.7.3 HTTP响应拆分

第五章 结论与展望

5.1 主要结论

5.2 进一步研究的方向

参考文献

附录

攻读研究生期间所发表论文及参加项目

致 谢