ASP: Các nguyên tắc bảo mật khi triển khai các ứng dụng Web

Kiểu tấn công CSS điển hình nhất xảy ra khi tin tặc cố tình chèn một đoạn văn bản có chứa scriptđộc hại vào các form nhập dữ liệu. Nội dung nhập vào có thể chứa các thẻ hoặc cùng các đoạn mã hết sức nguy hiểm. Trình duyệt, khi truy nhập site, cho rằng cácsrcipt này do máy chủ gửi tới, hoàn toàn vô hại nên sẽ chạy nó ở cấp độ bảo mật bình thường,gây ra hậu quả tai hại cho máy tính của người sử dụng ....
Nội dung trích xuất từ tài liệu:
ASP: Các nguyên tắc bảo mật khi triển khai các ứng dụng WebASP:CácnguyêntắcbảomậtkhitriểnkhaicácứngdụngWeb:trangnàyđãđượcđọc lần1.AntoàntrướckhảnăngbịtấncôngCSS(CrossSiteScripting)KiểutấncôngCSSđiểnhìnhnhấtxảyrakhitintặccốtìnhchènmộtđoạnvănbảncóchứascriptđộchạivàocácformnhậpdữliệu.Nộidungnhậpvàocóthểchứacácthẻhoặccùngcácđoạnmãhếtsứcnguyhiểm.Trìnhduyệt,khitruynhậpsite,chorằngcácsrciptnàydomáychủgửitới,hoàntoànvôhạinênsẽchạynóởcấpđộbảomậtbìnhthường,gâyrahậuquảtaihạichomáytínhcủangườisửdụng.ĐểbảovệkhỏibịtấncôngtheokiểuCSS,cầnchúýítnhấtnhữngđiểmsau:CậpnhậtthườngxuyêncácbảnsửalỗibảomậtmớinhấtcủaIISvàWindows.Lọccáckýtựđặcbiệtdongườisửdụngnhậpvàonhư%()&+Lọcđểloạibỏcáckýtựđặcbiệt,kếtxuấttrêncơsởthôngtinnhậpvàocủangườisửdụng.Xemkỹcácdữliệutừ:Request.FormCollectionRequest.QueryStringConllectionRequestObjectDatabaseCookieCácbiếnSessionvàApplicationĐểcóthểlọcđược,cầnxácđịnhcụthểlượcđồmãhoákýtựtrêncáctrangWeb,trongthẻMETA,ởphầnheader.Vídụ:2.ỨngdụngcóthểkhôngcầnsửdụngcáccookiethườngtrựcCookiethườngtrựclànhữngtệp,đượccácứngdụngWebgửitớimáytínhngườisửdụngvàvẫntồntạitrênổcứngcủamáytínhngaycảkhihọkhôngcònduyệtsite.ChúnglưumộtsốthôngtinvềngườisửdụngđểcácứngdụngWebtuỳbiếnnộidungchophùhợpvớitừngđốitượngngườisửdụnghoặcchophéphọbỏquagiaiđoạnđăngkýđăngnhập.Cáccookiekhôngthườngtrựcđượclưutrongbộnhớmáytínhcủangườisửdụngvàchỉtồntạitrongthờigianngườisửdụngduyệtsite.IISdựavàocáccookiekhôngthườngtrựcđểxácđịnhmộtphiênASP.Khôngcónó,IISkhôngthểduytrìbấtkỳcácthôngtinvềphiênlàmviệc,chẳnghạnnhưcácbiếnphiên.Nếusitecủabạnsửdụngcookiethườngtrực,khôngnênyêucầuIISlưutrữchúngtrongtệplogcủaIIS.Nếutệploglưulạitấtcảcácthôngtinđăngnhậpcủangườisửdụngthìrấtcónhiềukhảnăng,domộtthoảhiệpnàođó,nhữngthôngtinnàycóthểđượctiếtlộrangoài.3.SửdụngSSLchotấtcảcáctrangnhạycảmđượcchuyểntrênmạngInternetSSLmãhoánộidungcủacácthôngđiệpTCP/IPđểnókhôngbịnhòmngótrênđườngtruyền.SSL,hoặcmộtgiảiphápmãhoákhácVPNchẳnghạn,rấtcầnthiếtkhigửicácthôngtinnhạycảm(nhưsốthẻtíndụng)quamạng.Cơhộithâmnhậpđườngtruyềnvàlấycắpcácthôngtinbímậtlàthấpsongkhôngphảikhôngthểcó.Ngườisửdụngsẽkhôngđặtniềmtinvàositecủabạnnếucácthôngtinnhạycảmkhôngđượcmãhoá.Tuynhiên,mặttráicủaSSLlàlàmchậmlạihiệunăngthựchiệncủaứngdụng.MứcsửdụngtàinguyênhệthốngCPUđòihỏitrongtiếntrìnhmãhoávàgiảimãchomộttrangSSLcóthểcaohơntừ10đến100%sovớicáctrangkhôngđượcbìnhthường.NếumáychủcủabạncólưulượngcáctrangSSLcao,bạncóthểphảicânnhắctớiviệcsửdụngthêmmộtbộtăngtốcSSLphầncứng.4.YêucầungườisửdụngđăngnhậpmỗikhisửdụngứngdụngNguyêntắcnàyápdụngchocácứngdụngcóyêucầuthủtụcđăngnhập.Điềunàycónghĩalàviệcđăngnhậptựđộngdựatrêncookielàkhôngđượcphép.Mặcdùngườisửdụngcóthểthấyphiềnhànhưngnếuchohọđăngnhậptựđộngdựatrêncookiesẽcórấtnhiềunguyhiểm(vànhưtađãthấyởphầntrước,sửdụngcáccookiethườngtrựckhôngphảilúcnàocũngphùhợp).MộtbiệnpháptiếptheocầnthiếtđểbảovệmậtkhẩulàhuỷtínhnăngAutocompletecủaIEtrêncáctrườngmậtkhẩu.ĐiềunàycóthểthựchiệnbằngcáchthêmthuộctínhAUTOCMPLET=OFFchothẻhoặc.Vídụ:5.LogoutngườisửdụngrakhỏihệthốngngaykhihọrờisiteGiảsửmộtngườisửdụngđangxemmộttrangwebtrênsitecủabạn,sauđóhọtruycậpmộtsitemớinhưngcuốicùnglạiquyếtđịnhquaytrởlạitrangcủabạnbằngcáchấnphímBACK.Trongtrườnghợpnày,ứngdụngphảiyêucầungườisửdụngđăngnhậplạimộtlầnnữa.Pháthiệnnhữngtìnhhuốngtươngtựnhưtìnhhuốngvừarồicủangườisửdụngphảidựahoàntoànvàocácscriptchạyởphíatrìnhduyệtmàkhôngthểdựavàoservervìnókhôngbiếtngườisửdụngđãởnhữngđâu.CáchgiảiquyếtđầyđủnhấtchovấnđềnàylàsửdụngmộtgiảiphápbảomậtProxyServernhưcủaNetegritySiteMinder(http://www.netegrity.com).GiảiphápProxyServersẽgiámsátmọiyêucầuWebtừtrìnhduyệtvàghilạimọiđịachỉtrìnhduyệtđãtruynhậpđểứngdụngcóthểkiểmtra.MộtcáchthứckhôngđầyđủtrongviệckiểmtracácgiớihạnsitecóthểthựchiệnbằngcáchthiếtlậpRequest.ServerVariables(HTTP_REFERER).Nếungườisửdụngcógắngtruynhậpbấtkỳtrangnàokhácvớitrangđăngnhập,từmộtURLcủamộtsitekhác,thìhọsẽbịtừchối.Tuynhiên,phươngphápnàykhôngthểngănngừamộtngườisửdụngrờibỏsitecủabạnđểtớim ...