保證應(yīng)用程序的安全應(yīng)當(dāng)從編寫第一行代碼的時(shí)候開始做起，原因很簡(jiǎn)單，隨著應(yīng)用規(guī)模的發(fā)展，修補(bǔ)安全漏洞所需的代價(jià)也隨之快速增長(zhǎng)。根據(jù)IBM的系統(tǒng)科學(xué)協(xié)會(huì)(Systems Sciences Institute)的研究，如果等到軟件部署之后再來(lái)修補(bǔ)缺陷，其代價(jià)相當(dāng)于開發(fā)期間檢測(cè)和消除缺陷的15倍。

　　為了用最小的代價(jià)保障應(yīng)用程序的安全，在代碼本身的安全性、抗御攻擊的能力等方面，開發(fā)者應(yīng)當(dāng)擔(dān)負(fù)更多的責(zé)任。然而，要從開發(fā)的最初階段保障程序的安全性，必須具有相應(yīng)的技能和工具，而真正掌握這些技能和工具的開發(fā)者并不是很多。雖然學(xué)寫安全的代碼是一個(gè)復(fù)雜的過(guò)程，最好在大學(xué)、內(nèi)部培訓(xùn)會(huì)、行業(yè)會(huì)議上完成，但只要掌握了下面五種常見(jiàn)的ASP.NET應(yīng)用安全缺陷以及推薦的修正方案，就能夠領(lǐng)先一步，將不可或缺的安全因素融入到應(yīng)用的出生之時(shí)。

　　一、不能盲目相信用戶輸入

　　在Web應(yīng)用開發(fā)中，開發(fā)者最大的失誤往往是無(wú)條件地信任用戶輸入，假定用戶(即使是惡意用戶)總是受到瀏覽器的限制，總是通過(guò)瀏覽器和服務(wù)器交互，從而打開了攻擊Web應(yīng)用的大門。實(shí)際上，黑客們攻擊和操作Web網(wǎng)站的工具很多，根本不必局限于瀏覽器，從最低級(jí)的字符模式的原始界面(例如telnet)，到CGI腳本掃描器、Web代理、Web應(yīng)用掃描器，惡意用戶可能采用的攻擊模式和手段很多。

　　因此，只有嚴(yán)密地驗(yàn)證用戶輸入的合法性，才能有效地抵抗黑客的攻擊。應(yīng)用程序可以用多種方法(甚至是驗(yàn)證范圍重疊的方法)執(zhí)行驗(yàn)證，例如，在認(rèn)可用戶輸入之前執(zhí)行驗(yàn)證，確保用戶輸入只包含合法的字符，而且所有輸入域的內(nèi)容長(zhǎng)度都沒(méi)有超過(guò)范圍(以防范可能出現(xiàn)的緩沖區(qū)溢出攻擊)，在此基礎(chǔ)上再執(zhí)行其他驗(yàn)證，確保用戶輸入的數(shù)據(jù)不僅合法，而且合理。必要時(shí)不僅可以采取強(qiáng)制性的長(zhǎng)度限制策略，而且還可以對(duì)輸入內(nèi)容按照明確定義的特征集執(zhí)行驗(yàn)證。下面幾點(diǎn)建議將幫助你正確驗(yàn)證用戶輸入數(shù)據(jù)：

　　⑴ 始終對(duì)所有的用戶輸入執(zhí)行驗(yàn)證，且驗(yàn)證必須在一個(gè)可靠的平臺(tái)上進(jìn)行，應(yīng)當(dāng)在應(yīng)用的多個(gè)層上進(jìn)行。

　?、?除了輸入、輸出功能必需的數(shù)據(jù)之外，不要允許其他任何內(nèi)容。

　?、?設(shè)立“信任代碼基地”，允許數(shù)據(jù)進(jìn)入信任環(huán)境之前執(zhí)行徹底的驗(yàn)證。

　?、?登錄數(shù)據(jù)之前先檢查數(shù)據(jù)類型。

　?、?詳盡地定義每一種數(shù)據(jù)格式，例如緩沖區(qū)長(zhǎng)度、整數(shù)類型等。

　?、?嚴(yán)格定義合法的用戶請(qǐng)求，拒絕所有其他請(qǐng)求。

　　⑺ 測(cè)試數(shù)據(jù)是否滿足合法的條件，而不是測(cè)試不合法的條件。這是因?yàn)閿?shù)據(jù)不合法的情況很多，難以詳盡列舉。

　　二、五種常見(jiàn)的ASP.NET安全缺陷

　　下面給出了五個(gè)例子，闡述如何按照上述建議增強(qiáng)應(yīng)用程序的安全性。這些例子示范了代碼中可能出現(xiàn)的缺陷，以及它們帶來(lái)的安全風(fēng)險(xiǎn)、如何改寫最少的代碼來(lái)有效地降低攻擊風(fēng)險(xiǎn)。

　　1 、篡改參數(shù)

　　◎ 使用ASP.NET域驗(yàn)證器

　　盲目信任用戶輸入是保障Web應(yīng)用安全的第一敵人。用戶輸入的主要來(lái)源是HTML表單中提交的參數(shù)，如果不能嚴(yán)格地驗(yàn)證這些參數(shù)的合法性，就有可能危及服務(wù)器的安全。

　　下面的C#代碼查詢后端SQL Server數(shù)據(jù)庫(kù)，假設(shè)user和password變量的值直接取自用戶輸入：

　　SqlDataAdapter my_query = new SqlDataAdapter(

　　"SELECT * FROM accounts WHERE acc_user='" + user + "' AND acc_password='" + password, the_connection);

　　從表面上看，這幾行代碼毫無(wú)問(wèn)題，實(shí)際上卻可能引來(lái)SQL注入式攻擊。攻擊者只要在user輸入域中輸入“OR 1=1”，就可以順利登錄系統(tǒng)，或者只要在查詢之后加上適當(dāng)?shù)恼{(diào)用，就可以執(zhí)行任意Shell命令：

　　'; EXEC master..xp_cmdshell(Oshell command here')--

　　■ 風(fēng)險(xiǎn)分析

　　在編寫這幾行代碼時(shí)，開發(fā)者無(wú)意之中作出了這樣的假定：用戶的輸入內(nèi)容只包含“正常的”數(shù)據(jù)——合乎人們通常習(xí)慣的用戶名字、密碼，但不會(huì)包含引號(hào)之類的特殊字符，這正是SQL注入式攻擊能夠得逞的根本原因。黑客們可以借助一些具有特殊含義的字符改變查詢的本意，進(jìn)而調(diào)用任意函數(shù)或過(guò)程。

　　■ 解決方案

　　域驗(yàn)證器是一種讓ASP.NET開發(fā)者對(duì)域的值實(shí)施限制的機(jī)制，例如，限制用戶輸入的域值必須匹配特定的表達(dá)式。

　　要防止上述攻擊行為得逞，第一種辦法是禁止引號(hào)之類的特殊字符輸入，第二種辦法更嚴(yán)格，即限定輸入域的內(nèi)容必須屬于某個(gè)合法字符的集合，例如“[a-zA-Z0-9]*”。

　　2、 篡改參數(shù)之二

　　◎ 避免驗(yàn)證操作的漏洞

　　然而，僅僅為每個(gè)輸入域引入驗(yàn)證器還不能防范所有通過(guò)修改參數(shù)實(shí)施的攻擊。在執(zhí)行數(shù)值范圍檢查之時(shí)，還要指定正確的數(shù)據(jù)類型。

　　也就是說(shuō)，在使用ASP.NET的范圍檢查控件時(shí)，應(yīng)當(dāng)根據(jù)輸入域要求的數(shù)據(jù)類型指定適當(dāng)?shù)腡ype屬性，因?yàn)門ype的默認(rèn)值是String。