Web應(yīng)用是互聯(lián)網(wǎng)最普遍的應(yīng)用之一，因此也使你的網(wǎng)絡(luò)極易遭遇入侵導(dǎo)致敏感資料被竊、數(shù)據(jù)被篡改、或者甚至威脅到系統(tǒng)的安危。確保Web應(yīng)用安全是一個很迫切的任務(wù)，并且需要貫穿設(shè)計、開發(fā)、配置和實施階段的考慮。不能只把它看作附加在現(xiàn)有應(yīng)用上的一些事物，或者認(rèn)為應(yīng)用現(xiàn)有平臺的安全特征就很容易實現(xiàn)的。

即使依托相關(guān)安全平臺發(fā)展，Web應(yīng)用也必須追隨最好的貫穿設(shè)計、開發(fā)、配置整個階段的安全平臺來最大程度的避免遭遇攻擊。為了開發(fā)出安全的Web應(yīng)用，這個詳細而精確的平臺設(shè)計需要結(jié)合安全設(shè)計實踐、威脅模擬分析和安全滲透檢驗知識。

這篇文章論述了怎樣采用ASP.NET 2.0 and IIS 6.0的安全機制去建立安全的Web應(yīng)用的實踐。

Web安全應(yīng)用設(shè)計

安全設(shè)計原則通常可歸結(jié)為幾個關(guān)鍵原則：假設(shè)所有的系統(tǒng)輸入都是惡意的，減少系統(tǒng)外露信息，采用默認(rèn)值，使用深度防衛(wèi)而不依靠系統(tǒng)其他部分來保護。按照這些普遍原則來進行設(shè)計是確保你的應(yīng)用盡好的被保護的關(guān)鍵。

威脅模擬分析是用來制訂系統(tǒng)數(shù)據(jù)溢出和檢查可能的惡意入侵點。威脅模擬分析是從設(shè)計者的角色換為入侵者的角色去檢查你的設(shè)計的關(guān)鍵必要的練習(xí)，可以幫助發(fā)現(xiàn)潛在的安全漏洞。要了解更多的關(guān)于威脅模擬的知識，請到威脅模擬分析。

安全滲透檢驗又一種攻擊你的應(yīng)用——在別人入侵之前去破壞你的應(yīng)用以求發(fā)現(xiàn)問題的方法。你可以嘗試發(fā)送無效或最壞數(shù)據(jù)使你的應(yīng)用達到極限。你也可以利用你了解的它的內(nèi)部只是來破壞你的應(yīng)用程序——這樣，你所來了解的內(nèi)部知識賦予你相對于一般的入侵者無可比擬的優(yōu)勢，或許可以挖掘出深藏在你的代碼內(nèi)部的脆弱點。有各種各樣的工具可以幫助你來做安全滲透檢驗。