應(yīng)用MicrosoftNetFramework編寫(xiě)安全的應(yīng)用程序課件_第1頁(yè)
應(yīng)用MicrosoftNetFramework編寫(xiě)安全的應(yīng)用程序課件_第2頁(yè)
應(yīng)用MicrosoftNetFramework編寫(xiě)安全的應(yīng)用程序課件_第3頁(yè)
應(yīng)用MicrosoftNetFramework編寫(xiě)安全的應(yīng)用程序課件_第4頁(yè)
應(yīng)用MicrosoftNetFramework編寫(xiě)安全的應(yīng)用程序課件_第5頁(yè)
已閱讀5頁(yè),還剩36頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

應(yīng)用Microsoft.NETFramework編寫(xiě)安全的應(yīng)用程序鐘衛(wèi)DPE微軟公司SessionPrerequisitesDevelopmentexperiencewithMicrosoftVisualBasic?,MicrosoftVisualC++,orC#ExperiencebuildingMicrosoftWindowsorWebapplicationsusingthe.NETFrameworkLevel200.NETFramework安全特性

.NETFramework安全特性代碼訪問(wèn)安全角色訪問(wèn)安全構(gòu)建安全的ASP.NETWeb應(yīng)用構(gòu)建安全的ASP.NETWebServices應(yīng)用.NET托管代碼的執(zhí)行安全.NETFramework安全特性

幫助您開(kāi)發(fā)更加安全的應(yīng)用內(nèi)置很多的安全組件類(lèi)型察看異常管理安全引擎與Windows的安全性相互補(bǔ)充具備很高的靈活性和擴(kuò)展性

類(lèi)型安全的系統(tǒng) 類(lèi)型安全代碼防范緩沖區(qū)溢出授權(quán)方式限制訪問(wèn)內(nèi)存允許相同進(jìn)程運(yùn)行多程序集 應(yīng)用程序域提供:性能增強(qiáng)代碼安全性的增強(qiáng)應(yīng)用類(lèi)型檢驗(yàn)防范內(nèi)存改寫(xiě)在.NET中System.String的聲明和調(diào)用沒(méi)發(fā)生改變.NET中的System.Text.StringBuilder提供了緩沖區(qū)邊界檢查緩沖區(qū)溢出保護(hù)

voidCopyString(stringsrc){ stringDest=src;}算法錯(cuò)誤檢查對(duì)算法的錯(cuò)誤檢查通過(guò):關(guān)鍵字檢查項(xiàng)目設(shè)定byteb=0;while(true){ Console.WriteLine(b); checked { b++;

}}強(qiáng)命名具有唯一的標(biāo)識(shí)符被用于對(duì)程序集的數(shù)字簽名經(jīng)過(guò)強(qiáng)命名的程序集防止被篡改確認(rèn)程序集原有者的身份允許組件并行調(diào)用強(qiáng)命名保護(hù)sn–kMyFullKey.snk基于證據(jù)的安全機(jī)制證據(jù):當(dāng)程序集被訪問(wèn)時(shí)評(píng)估證據(jù)被用于確定程序集所具有的權(quán)限包含了程序集的:強(qiáng)命名信息URL(可信,非可信) Zone(安全區(qū)域)可信的代碼簽名用戶(hù)自定義信息安全策略SecurityentityDescriptionPolicy由管理員進(jìn)行設(shè)定運(yùn)行時(shí)強(qiáng)制檢查管理簡(jiǎn)單包含permissions包含codegroupsCodegroup一類(lèi)相似的程序集基于證據(jù)與一個(gè)permission集合相聯(lián)系Permissionset包含一組經(jīng)過(guò)授權(quán)的permission步入調(diào)用堆棧的安全機(jī)制CallstackSecuritysystemYourAssemblySomeAssembly.NETframeworkassemblyCalltoReadFileCalltoReadFileGrant:Execute1.Anassemblyrequestsaccesstoamethodinyourassembly2.Yourassemblypassestherequesttoa.NETFrameworkassembly3.Thesecuritysystemensuresthatallcallersinthestackhavetherequiredpermissions4.ThesecuritysystemgrantsaccessorthrowsanexceptionGrant:ReadFileGrant:ReadFilePermissiondemandSecurityexception

AccessdeniedGrantaccess?Demonstration1:CodeAccessSecurityUsingthe.NETFrameworkConfigurationToolPerformingSecurityChecksRequestingPermissions部分信任的程序集.NETFramework1.1之前的web應(yīng)用都是fulltrust運(yùn)行.NETFramework1.1提供下面幾種信任級(jí)別:FullHighMediumLowMinimal角色訪問(wèn)安全

.NETFramework安全特性代碼訪問(wèn)安全角色訪問(wèn)安全加密構(gòu)建安全的ASP.NETWeb應(yīng)用構(gòu)建安全的ASP.NETWebServices應(yīng)用IdentitiesandPrincipalsidentity包含了一個(gè)用戶(hù)的信息,比如用戶(hù)的登陸名稱(chēng)principal包含了一種角色的信息,比如角色包含的用戶(hù)和計(jì)算機(jī).NETFramework提供了:WindowsIdentityandWindowsPrincipalobjectsGenericIdentityandGenericPrincipalobjects使用WindowsIdentity和WindowsPrincipal對(duì)象WindowsIdentitymyIdent=WindowsIdentity.GetCurrent();WindowsPrincipalmyPrin=newWindowsPrincipal(myIdent);AppDomain.CurrentDomain.SetPrincipalPolicy(PrincipalPolicy.WindowsPrincipal);WindowsPrincipalmyPrin=(Thread.CurrentPrincipalasWindowsPrincipal);SinglevalidationRepeatedvalidation創(chuàng)建WindowsIdentitiesandPrincipals創(chuàng)建GenericIdentitiesandPrincipalsGenericIdentitymyIdent=newGenericIdentity("User1");string[]roles={"Manager","Teller"};GenericPrincipalmyPrin=newGenericPrincipal(myIdent,roles);System.Threading.Thread.CurrentPrincipal=myPrin;創(chuàng)建一個(gè)GenericIdentity和GenericPrincipal將創(chuàng)建的GenericPrincipal加載到當(dāng)前的策略上PrincipalPermissionprinPerm=newPrincipalPermission("Teller",“Manager”,true);try{prinPerm.Demand();//Doestheabovematchtheactiveprincipal?}[PrincipalPermission(SecurityAction.Demand,Role="Teller",Authenticated=true)]Usepermissionstoperformrole-basedsecuritychecks命令式聲明式(通過(guò)屬性調(diào)用實(shí)現(xiàn))命令與聲明式的安全檢查Demonstration2:Role-BasedSecurityUsingWindowsRole-BasedSecurityUsingGenericRole-BasedSecurity<system.web> <authenticationmode="Forms"> <forms loginUrl="WebForm1.aspx"/> </authentication> <authorization> <denyusers="?"/> </authorization></system.web>基于Forms認(rèn)證方式的設(shè)置設(shè)置IISAnonymousauthentication

通過(guò)設(shè)置Web.config建立Form認(rèn)證方式建立授權(quán)創(chuàng)建一個(gè)登陸葉面開(kāi)發(fā)人員可以通過(guò)設(shè)置確保cookies安全<authenticationmode="Forms"> <formsloginUrl="login.aspx" protection="All" requireSSL="true" timeout="10" name="AppNameCookie" path="/FormsAuth" slidingExpiration="true" </forms></authentication>開(kāi)發(fā)人員可以創(chuàng)建application-specifickeys來(lái)加解密cookies窗體認(rèn)證方式的增強(qiáng)校驗(yàn)控件Webapplication

processedUserenters

dataValid?Valid?Error

MessageClientServerYesNoYesNo客戶(hù)端校驗(yàn)提供即時(shí)反饋減少postback服務(wù)器校驗(yàn)重復(fù)了客戶(hù)端的校驗(yàn)可以結(jié)合存儲(chǔ)的數(shù)據(jù)進(jìn)行驗(yàn)證校驗(yàn)控件的類(lèi)型Demonstration4:ASP.NETWebApplicationSecurityConfiguringFormsAuthenticationUsingValidationControls構(gòu)建安全的ASP.NETWebServices應(yīng)用.NETFramework安全特性代碼訪問(wèn)安全角色訪問(wèn)安全加密構(gòu)建安全的ASP.NETWeb應(yīng)用構(gòu)建安全的ASP.NETWebServices應(yīng)用消息級(jí)別的安全TransportService通過(guò)xml消息傳遞安全信息信任級(jí)別數(shù)字簽名消息可被加密Security

isindependent

fromtransportprotocolXMLClientXMLTransportAnytransportXMLXMLWebServiceEnhancements(WSE)包含以下內(nèi)容:SOAPheaders包含認(rèn)證信息支持消息加密支持消息數(shù)字簽名支持消息路由支持附件傳遞通過(guò)程序集Microsoft.Web.Services.dll運(yùn)行Demonstration5:WebServices

EnhancementsImplementingSecurityforaWebServiceAlookatWSEmessagesNextStepsStayinformedaboutsecuritySignupforsecuritybulletins:

alerts2.aspGetthelatestMicrosoftsecurityguidance:

guidance/GetadditionalsecuritytrainingFind

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論