張捷

摘 要：隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，ASP.NET成了當前社會各種網(wǎng)站程序開發(fā)過程中解決問題的優(yōu)質(zhì)工具。文章通過概述ASP.NET，研究加強ASP.NET安全性的前提，具體分析了ASP.NET在應(yīng)用程序中為驗證用戶身份提供的4種方法，提出加強ASP.NET安全性的幾項措施，以期促進網(wǎng)絡(luò)技術(shù)的發(fā)展。

關(guān)鍵詞：ASP.NET；安全性；驗證

隨著ASP.NET被各大網(wǎng)站電子商務(wù)企業(yè)及應(yīng)用程序開發(fā)的廣泛應(yīng)用，ASP.NET的安全性成了當前社會的網(wǎng)絡(luò)發(fā)展的重點，也是需要不斷去完善解決的問題。本文結(jié)合ASP.NET概念及安全基礎(chǔ)，就其應(yīng)用和安全性進行深入探討。

1 ASP.NET的概述

ASP.NET又被稱作為ASP+，但是ASP.NET卻又不只是簡單升級后的ASP，而是一種微軟公司提出的新型腳本語言。ASP.NET是以.NET Framework的Web開發(fā)平臺作為基礎(chǔ)，不僅只是汲取了舊版ASP的各項優(yōu)點，并且還以Java和VB兩種編程軟件的語言開發(fā)存在的優(yōu)勢作為參照，并且溶于許多新穎的特色進行舊版ASP運行過程中錯誤的修正。在應(yīng)用程序用于網(wǎng)站開發(fā)方面存在的身份驗證、容量緩存等多方面的問題，ASP.NET都可以進行相應(yīng)的解決處理。ASP.NET在代碼撰寫方面更是可以實現(xiàn)分離頁面邏輯與業(yè)務(wù)邏輯，提高了網(wǎng)頁撰寫的容易度，使得網(wǎng)頁代碼撰寫變得更加簡潔[1]。

2 加強ASP.NET安全的基礎(chǔ)

ASP.NET幫助應(yīng)用程序安全運行需要借助Microsoft.NET框架及IZS協(xié)助完成，安全性的實現(xiàn)需要以下3點作為基礎(chǔ)[2]。

2.1 身份驗證

用戶從客戶端獲取相關(guān)標識憑據(jù)時需要通過身份的驗證，例如設(shè)置戶名密碼。身份驗證主要是為了進一步確立用戶在客戶端的身份。在身份驗證進行成功通過之后才能給到其訪問的權(quán)利及資源的獲取。

2.2 授權(quán)

授權(quán)主要是為了身份驗證成功之后，對身份進行定位并賦予訪問獲取的權(quán)利。一般通過文件授權(quán)以及URI.授權(quán)來給予其資源訪問獲取的權(quán)利。

2.3 模擬

在啟用模擬的情況下，ASP.NET應(yīng)用程序必須借助IIS實現(xiàn)用戶的驗證，IIS在完成驗證之后把驗證成功標記傳回ASP.NET應(yīng)用程序，如果在驗證過程出現(xiàn)驗證失敗的情況，那么也將會把驗證失敗標記傳回。由于在使用模擬客戶的ASP.NET應(yīng)用程序需要借助NTFS目錄以及文件當中的設(shè)置去決定客戶的訪問請求，因此為了方便訪問權(quán)利的設(shè)置，應(yīng)用程序所存文件格式應(yīng)為NTFS。

3 ASP.NET在應(yīng)用程序身份驗證

3.1 Windows身份驗證

Windows身份驗證的方式與正常情況下的IIS身份驗證方法一樣。在用戶請求訪問的時候，實行不允許用戶進行匿名訪問，實名制訪問并且進行身份驗證，用這種方式來保障站點不受影響。與此同時，還需要對文件進行變更，并且ASP.NET需要把用戶在通過IIS的身份驗證時輸入的證書，以此作為該應(yīng)用程序的證書。

3.2 Forms身份驗證

Forms驗證也就是窗體驗證，這種驗證方式可以較好地支持與用戶在身份驗證及授權(quán)的過程。實行自行撰寫在一個用戶登錄頁面上的代碼用于用戶的身份驗證，把驗證完的用戶身份傳送到該客戶端的Cookie（儲存在用戶本地終端上的數(shù)據(jù)），實行之后該用戶二次訪問的時候服務(wù)端就會收到該用戶的身份Cookie。服務(wù)端就可以根據(jù)不同的目錄對用戶的訪問進行權(quán)限控制。由于Forms驗證具備較高的靈活性，使用頻率相對較高。

3.3 Passport身份驗證

在使用Passport身份驗證措施的時候我們可以將Microsoft Passport（微軟護照、微軟通行證）和應(yīng)用程序互相聯(lián)系。在使用Passport進行身份驗證的時候還必須要下載Passport軟件開發(fā)當中的工具包SDK，與此同時還必須要配置微軟公司的應(yīng)用程序才能使用Passport進行身份驗證的服務(wù)。該身份驗證模式由于相對復(fù)雜，較少被應(yīng)用。

3.4 使用表單身份驗證

雖然IIS設(shè)定為非實名用戶依然可以進行訪問，但是依舊可以通過ASP. NET中的設(shè)置來進行客戶端的驗證以及授權(quán)，這種設(shè)置實現(xiàn)方式可以通過表單身份驗證的使用。這種身份驗證方式主要是通過重定向功能把收到的驗證失敗請求重新定向與某個特定的頁面，用戶在這個特定的頁面上交的憑據(jù)如果通過驗證并且被授權(quán)成功，那么應(yīng)用程序便會發(fā)送出該用戶的身份驗證票的驗證表單，接著再重新定向與用戶起初的請求頁面。如果出現(xiàn)用戶的二次頁面請求，請求中就會直接包括了身份驗證表單，二次實現(xiàn)快速身份驗證及授權(quán)。具體如圖1所示。

4 加強ASP.NET安全性的措施

ASP.NET的代碼中存在的篡改參數(shù)，信息泄漏，結(jié)構(gòu)化查詢語言（Structured Query Language，SQL）注入式攻擊，跨站腳本執(zhí)行等都是其安全性能方面主要問題。提高ASP.NET安全性措施有以下幾點[3]。

4.1 域驗證器驗證參數(shù)的合法性

超級文本標記語言（HyperText Markup Language，HTML）表單中所提交的參數(shù)成了用戶輸入?yún)?shù)的源頭，因此，應(yīng)該加強對這些參數(shù)合法性的驗證，一定程度上避免了服務(wù)器危機的出現(xiàn)。通過使用域驗證器致使ASP.NET開發(fā)者對域的值采取限制。比如，用戶在輸入域值的時候?qū)艿接蝌炞C器的限制，域值必須配備相應(yīng)的表達公式。特殊字符必然是為首當禁止，用戶輸入必須是集合某些合法字符的內(nèi)容。

4.2 預(yù)防驗證操作參數(shù)漏洞

僅僅是靠運用域驗證器對輸入域值進行驗證達不到防止所有參數(shù)的攻擊，某些經(jīng)過修改之后的參數(shù)依然可以對服務(wù)器進行攻擊。在對數(shù)值范圍進行檢查的時候，還需要指定正確的數(shù)據(jù)。意思就是在ASP.NET進行范圍檢查控件的時候需要對輸入域的數(shù)據(jù)要求指定相應(yīng)的Type 屬性，而String就是Type的默認值。利用ype屬性指定為Integer的特性，以此保障輸入值都是真實整數(shù)。

4.3 SQL參數(shù)API代替程序員

由于部門用戶在輸入域的域值當中錄入一些特殊字符，使得SQL的查詢失去本來意義，對數(shù)據(jù)庫進行欺騙實現(xiàn)惡意的查詢。為了防止這種惡意的方式，不僅可以使用限制輸入域值的字符外，另外一種更為有效地防止方法就是使用SQL參數(shù)應(yīng)用程序編程接口（Application Programming Interface，API），改變原來程序員進行構(gòu)造查詢的方式，由編程環(huán)境底層API代替。

4.4 對外發(fā)數(shù)據(jù)進行編碼

Cross-site scripting（跨站腳本執(zhí)行）就是把一些用戶惡意的輸入放到HTML頁面上。為了防止這種情況，在HTML頁面如果出現(xiàn)一些由外部用戶數(shù)據(jù)執(zhí)行輸入驗證和HTML編碼，必須確保頁面只是把數(shù)據(jù)當成文本，避免頁面把輸入數(shù)據(jù)當成類似HTML代碼等具備其他特性的內(nèi)容。

5 結(jié)語

由于ASP.NET和 ADO.NET身為微軟公司.NET構(gòu)架中的一部分，現(xiàn)已成為開發(fā)各種網(wǎng)站程序的主流開發(fā)工具，加以有效利用可以很簡便地構(gòu)造出新型的高效安全網(wǎng)站應(yīng)用程序，具備強大的應(yīng)用前景。因此，ASP.NET的安全性一直都是社會大眾關(guān)注的焦點，本文通過了解ASP.NET安全性的實現(xiàn)基礎(chǔ)，具體對ASP.NET的Windows身份驗證、Forms身份驗證、Passport身份驗證、表單身份驗證進行分析，提出相關(guān)的加強ASP.NET安全性的措施，希望在網(wǎng)絡(luò)安全方面起到良好的促進作用。

[參考文獻]

[1]周廣清，劉建平.ASP.NET頁面跳轉(zhuǎn)和參數(shù)傳遞[J].醫(yī)療衛(wèi)生裝備，2015（3）：73-75，102.

[2]崔海波.基于ASP.NET架構(gòu)Web應(yīng)用的安全性研究及應(yīng)用[J].福建電腦，2015（3）：87-89.

[3]鄒宏偉，陳曉濤.基于ASP.NET的網(wǎng)絡(luò)辦公系統(tǒng)設(shè)計[J].信息與電腦（理論版），2017（8）：120-122.