網(wǎng)站安全性解決方案。

傳誠信-網(wǎng)站安全性解決方案

常見攻擊類型

1、緩沖區(qū)溢出

攻擊者利用超出緩沖區(qū)大小的請求和構造的二進制代碼讓服務器執(zhí)行溢出堆棧中的惡意指令。?

2、Cookie假冒

精心修改cookie數(shù)據(jù)進行用戶假冒。

3、認證逃避

攻擊者利用不安全的證書和身份管理。?

4、非法輸入

在動態(tài)網(wǎng)頁的輸入中使用各種非法數(shù)據(jù)，獲取服務器敏感數(shù)據(jù)。

5、強制訪問

訪問未授權的網(wǎng)頁。

6、隱藏變量篡改

對網(wǎng)頁中的隱藏變量進行修改，欺騙服務器程序。?

7、拒絕服務攻擊

構造大量的非法請求，使Web服務器不能響應正常用戶的訪問。

8、跨站腳本攻擊

提交非法腳本，其他用戶瀏覽時盜取用戶帳號等信息。

傳誠信提供的解決方案

WEB程序的安全性

.NET應用程序的安全性

Microsoft.NET框架實現(xiàn)了一個包含兩層防護的安全性體系，來防范惡意攻擊。

第一層稱為基于角色的安全性，該層控制用戶對應用程序資源操作的訪問；

第二層稱為代碼訪問的安全性，這層不僅控制代碼對資源的訪問，還將控制代碼執(zhí)行特權操作的權限。

?

代碼訪問安全性

代碼訪問安全性（Code?Access?Secutity,簡稱CAS）,能夠最大限度地防止用戶無意識執(zhí)行不安全的代碼。

通過使用CAS,能夠限制代碼對資源的訪問。

使用權限和權限集，并提供代碼產地的證據(jù)，然后應用安全策略，就能實現(xiàn)CAS.

?

防止SQL注入式攻擊是指攻擊者能夠在發(fā)送給數(shù)據(jù)庫服務器的命令中插入其他SQL語句，所插入的命令將破壞、修改、獲取私有數(shù)據(jù)。

?

使用加密

使用名稱空間

Sytem.Security.Cryptography.

該命名空間提供加密服務，包括安全的數(shù)據(jù)編碼和解碼，以及許多其他操作，例如散列法、隨機數(shù)字生成和消息身份驗證。

加密法：

.NET的加密法主要基于CryptoAPI?和相關擴展。大多數(shù)有關加密的類都在System.security.Cryptography,?X509Centificates?和XML中。.NET利用基于流的模型來完成加密傳輸，所有的算法都被默認為最高的安全級別。.NET也允許用戶自己在?machine.config?中定義自己的算法。??

框架安全性

框架在系統(tǒng)層面提供了眾多的安全特性，確保你的網(wǎng)站和產品安全無憂。

這些特性包括：

XSS安全防護

表單自動驗證

強制數(shù)據(jù)類型轉換

輸入數(shù)據(jù)過濾

表單令牌驗證

防SQL注入

圖像上傳檢測

主動式的檢測機制

Web應用攻擊成功的根本原因是Web程序存在安全漏洞，預防的一個有效途徑是：在網(wǎng)站遭到持續(xù)危害之前，主動識別Web漏洞以及網(wǎng)頁木馬，并實施補救措施來避免攻擊，減少損失。?

Web漏洞不可能在開發(fā)的時候就被完全發(fā)現(xiàn)并修復，因此在網(wǎng)站提供服務的過程中，會被黑客不斷挖掘，造成攻擊。?

傳誠信通過整合多種專業(yè)檢查工具的自動化檢測平臺和專業(yè)安全服務團隊提供網(wǎng)站安全檢查服務，每次檢查都先由自動化檢測平臺進行初篩，確保檢查盡可能高效且沒有遺漏；然后再由專業(yè)安全服務專家對初篩結果進行逐一審核和修訂，確保最終結果的準確性。傳誠信通過完善的流程有效的將工具的效率和專家的質量很好的結合起來，確保服務的連續(xù)性和質量穩(wěn)定性。?

強大的工具庫將支持我們的工作

IBM?Rational?AppScan?正是應對這一挑戰(zhàn)的利器。?

AppScan?擁有龐大完整的攻擊特征庫，通過在?http?request?中插入測試用例的方法實現(xiàn)幾百中應用攻擊，再通過分析?http?response?判斷該應用是否存在相應的漏洞。?測試人員可以快速的定位漏洞所在的位置，同時?AppScan?可以詳細指出該漏洞的原理以及解決該漏洞的方法，幫助開發(fā)人員迅速修復程序安全隱患。?

網(wǎng)站安全聯(lián)盟、eesafe網(wǎng)站工具、360安全檢測等安全工具的檢測。

Rational?AppScan?工作示意圖?

定義掃描

結果分析