| 樹立行業服務典範、爲您提供全方位的互聯網營銷服務
24小時咨詢熱線:
180-0550-0923

在ASP.NET編程中的十種安全措施

发表时间:2017-06-23 00:00

一、 MD5 加密用户密码

本系統用戶密碼采用MD5加密,這是一種安全性非常高的加密算法,是普遍使用廣泛應用于文件驗證,銀行密碼加密等領域,由于這種加密的不可逆性,在使用10位以上字母加數字組成的隨機密碼時,幾乎沒有************的可能性。

二、 COOKIES加密a

保存COOKIES時,對保存于COOKIES中的數據采用了以MD5加密爲基礎,加入隨機加密因子的改進型專用加密算法。由于使用的不是標准MD5加密,因此COOKIES中保存的數據不可能被解密。因此,黑客試圖用僞造COOKIES攻擊系統變得完全不可能,系統用戶資料變得非常安全。

三、 SQL注入防护

系統在防SQL注入方面,設置了四道安全防護:

第一、 系统级SQL防注入检测,系统会遍历检测所有用GET、POST、COOKIES提交到服务器上的数据,如发现有可能用于构造可注入SQL的异常代码,系统将终止程序运行,并记录日志。这一道安全防护加在连接数据库之前,能在连接数据库前挡处几乎所有的SQL注入和危害网站安全的数据提交。

第二、 程序级安全仿SQL注入系统,在应用程序中,在构建SQL查询语句前,系统将对由外部获取数据,并带入组装为SQL的变量进行安全性验证,过滤可能构成注入的字符。

第三、 禁止外部提交表单,系统禁止从本域名之外的其它域名提交表单,防止从外部跳转传输攻击性代码。

第四、数据库操作使用存储过程 系统所有的重要数据操作,均使用存储过程完成,避免组装SQL字符串,令即使通过了层层SQL注入过滤的攻击性字符仍然无法发挥作用。

四、 木马和病毒防护

針對可能的木馬和病毒問題,系統認爲,在服務器設置安全的情況下,外部帶來的安全問題,主要是用戶可能上傳病毒和木馬,作了如下四層的防護

第一、 客户端文件检测,在上传之前,对准备上传的文件进行检测,如果发现不是服务器设置的允许上传的文件类型,系统拒绝进行上传。如果客户端屏蔽了检测语句,则上传程序同时被屏蔽,系统无法上传任何文件。

第二、 服务器端文件安全性检测,对上传到服务器的文件,程序在将文件写入磁盘前,检测文件的类型,如发现是可能构成服务器安全问题的文件类型,即所有可以在服务器上执行的程序,系统都拒绝写入磁盘。以此保证不被上传可能在服务器上传播的病毒和木马程序。

第三、對有權限的服務器,系統采用即上傳即壓縮策略,所有上傳的除圖片文件、視頻文件外,其它各種類型的文件一但上傳,立即壓縮爲RAR,因此,即使包含木馬也無法運行。不能對網站安全帶來威脅。

第四、底層的文件類型檢測系統對文件類型作了底層級檢測,由于不僅檢測擴展名,而是對文件的實際類型進行檢測,所以無法通過改擴展名方式逃過安全性驗證。

五、 权限控制系统

系統設置了嚴格有效的權限控制系統,何人可以發信息,何人能刪除信息等權限設置系統一共有數十項詳細設置,並且網站不同欄目可以設置完全不同的權限,所有權限均在多個層次上嚴格控制權限。

六、IP記錄

IP地址库 除记录所有重要操作的IP外,还记录了IP所在地区,系统中内置约了17万条IP特征记录。

詳細的IP記錄所有的創建記錄、編輯記錄行爲(如發文章,發評論,發站內信等),均記錄此操作發生的IP,IP所在地區,操作時間,以便日後備查。在發現安全問題時,這些數據會非常關鍵和必要。

七、隱藏的程序入口

有全站生成静态页 系统可以全站生成HTML静态文件,使网站的执行程序不暴露在WEB服务中,HTML页不和服务器端程序交互,黑客很难对HTML页进行攻击,很难找到攻击目标。

八、有限的寫文件

系統所有的寫文件操作只發生于一個UPFILE目錄,而此目錄下的文件均爲只需讀寫即可,可通過WINDOWS安全性設置,設置此目錄下的文件只讀寫,不執行,而程序所在的其它文件夾只要執行和讀權限,從而使破壞性文件無法破壞所有程序執行文件,保證這些文件不被修改。

九、作了MD5校驗的訂單數據

在商城訂單處理中,對提交的訂單信息作了MD5校驗,從而保證數據不被非法修改。

十、編譯執行的代碼

由于基于.net開發,代碼編譯執行,不但更快,也更安全

我用這些辦法,作的網站程序叫網站快車,大家去看看,是不是安全。

掃描進入手機站
掃描進入微信咨詢
關注我們:
網站建設咨詢熱線:
180-0550-0923