張捷

摘 要：隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，ASP.NET成了當(dāng)前社會(huì)各種網(wǎng)站程序開發(fā)過(guò)程中解決問題的優(yōu)質(zhì)工具。文章通過(guò)概述ASP.NET，研究加強(qiáng)ASP.NET安全性的前提，具體分析了ASP.NET在應(yīng)用程序中為驗(yàn)證用戶身份提供的4種方法，提出加強(qiáng)ASP.NET安全性的幾項(xiàng)措施，以期促進(jìn)網(wǎng)絡(luò)技術(shù)的發(fā)展。

關(guān)鍵詞：ASP.NET；安全性；驗(yàn)證

隨著ASP.NET被各大網(wǎng)站電子商務(wù)企業(yè)及應(yīng)用程序開發(fā)的廣泛應(yīng)用，ASP.NET的安全性成了當(dāng)前社會(huì)的網(wǎng)絡(luò)發(fā)展的重點(diǎn)，也是需要不斷去完善解決的問題。本文結(jié)合ASP.NET概念及安全基礎(chǔ)，就其應(yīng)用和安全性進(jìn)行深入探討。

1 ASP.NET的概述

ASP.NET又被稱作為ASP+，但是ASP.NET卻又不只是簡(jiǎn)單升級(jí)后的ASP，而是一種微軟公司提出的新型腳本語(yǔ)言。ASP.NET是以.NET Framework的Web開發(fā)平臺(tái)作為基礎(chǔ)，不僅只是汲取了舊版ASP的各項(xiàng)優(yōu)點(diǎn)，并且還以Java和VB兩種編程軟件的語(yǔ)言開發(fā)存在的優(yōu)勢(shì)作為參照，并且溶于許多新穎的特色進(jìn)行舊版ASP運(yùn)行過(guò)程中錯(cuò)誤的修正。在應(yīng)用程序用于網(wǎng)站開發(fā)方面存在的身份驗(yàn)證、容量緩存等多方面的問題，ASP.NET都可以進(jìn)行相應(yīng)的解決處理。ASP.NET在代碼撰寫方面更是可以實(shí)現(xiàn)分離頁(yè)面邏輯與業(yè)務(wù)邏輯，提高了網(wǎng)頁(yè)撰寫的容易度，使得網(wǎng)頁(yè)代碼撰寫變得更加簡(jiǎn)潔[1]。

2 加強(qiáng)ASP.NET安全的基礎(chǔ)

ASP.NET幫助應(yīng)用程序安全運(yùn)行需要借助Microsoft.NET框架及IZS協(xié)助完成，安全性的實(shí)現(xiàn)需要以下3點(diǎn)作為基礎(chǔ)[2]。

2.1 身份驗(yàn)證

用戶從客戶端獲取相關(guān)標(biāo)識(shí)憑據(jù)時(shí)需要通過(guò)身份的驗(yàn)證，例如設(shè)置戶名密碼。身份驗(yàn)證主要是為了進(jìn)一步確立用戶在客戶端的身份。在身份驗(yàn)證進(jìn)行成功通過(guò)之后才能給到其訪問的權(quán)利及資源的獲取。

2.2 授權(quán)

授權(quán)主要是為了身份驗(yàn)證成功之后，對(duì)身份進(jìn)行定位并賦予訪問獲取的權(quán)利。一般通過(guò)文件授權(quán)以及URI.授權(quán)來(lái)給予其資源訪問獲取的權(quán)利。

2.3 模擬

在啟用模擬的情況下，ASP.NET應(yīng)用程序必須借助IIS實(shí)現(xiàn)用戶的驗(yàn)證，IIS在完成驗(yàn)證之后把驗(yàn)證成功標(biāo)記傳回ASP.NET應(yīng)用程序，如果在驗(yàn)證過(guò)程出現(xiàn)驗(yàn)證失敗的情況，那么也將會(huì)把驗(yàn)證失敗標(biāo)記傳回。由于在使用模擬客戶的ASP.NET應(yīng)用程序需要借助NTFS目錄以及文件當(dāng)中的設(shè)置去決定客戶的訪問請(qǐng)求，因此為了方便訪問權(quán)利的設(shè)置，應(yīng)用程序所存文件格式應(yīng)為NTFS。

3 ASP.NET在應(yīng)用程序身份驗(yàn)證

3.1 Windows身份驗(yàn)證

Windows身份驗(yàn)證的方式與正常情況下的IIS身份驗(yàn)證方法一樣。在用戶請(qǐng)求訪問的時(shí)候，實(shí)行不允許用戶進(jìn)行匿名訪問，實(shí)名制訪問并且進(jìn)行身份驗(yàn)證，用這種方式來(lái)保障站點(diǎn)不受影響。與此同時(shí)，還需要對(duì)文件進(jìn)行變更，并且ASP.NET需要把用戶在通過(guò)IIS的身份驗(yàn)證時(shí)輸入的證書，以此作為該應(yīng)用程序的證書。

3.2 Forms身份驗(yàn)證

Forms驗(yàn)證也就是窗體驗(yàn)證，這種驗(yàn)證方式可以較好地支持與用戶在身份驗(yàn)證及授權(quán)的過(guò)程。實(shí)行自行撰寫在一個(gè)用戶登錄頁(yè)面上的代碼用于用戶的身份驗(yàn)證，把驗(yàn)證完的用戶身份傳送到該客戶端的Cookie（儲(chǔ)存在用戶本地終端上的數(shù)據(jù)），實(shí)行之后該用戶二次訪問的時(shí)候服務(wù)端就會(huì)收到該用戶的身份Cookie。服務(wù)端就可以根據(jù)不同的目錄對(duì)用戶的訪問進(jìn)行權(quán)限控制。由于Forms驗(yàn)證具備較高的靈活性，使用頻率相對(duì)較高。

3.3 Passport身份驗(yàn)證

在使用Passport身份驗(yàn)證措施的時(shí)候我們可以將Microsoft Passport（微軟護(hù)照、微軟通行證）和應(yīng)用程序互相聯(lián)系。在使用Passport進(jìn)行身份驗(yàn)證的時(shí)候還必須要下載Passport軟件開發(fā)當(dāng)中的工具包SDK，與此同時(shí)還必須要配置微軟公司的應(yīng)用程序才能使用Passport進(jìn)行身份驗(yàn)證的服務(wù)。該身份驗(yàn)證模式由于相對(duì)復(fù)雜，較少被應(yīng)用。

3.4 使用表單身份驗(yàn)證

雖然IIS設(shè)定為非實(shí)名用戶依然可以進(jìn)行訪問，但是依舊可以通過(guò)ASP. NET中的設(shè)置來(lái)進(jìn)行客戶端的驗(yàn)證以及授權(quán)，這種設(shè)置實(shí)現(xiàn)方式可以通過(guò)表單身份驗(yàn)證的使用。這種身份驗(yàn)證方式主要是通過(guò)重定向功能把收到的驗(yàn)證失敗請(qǐng)求重新定向與某個(gè)特定的頁(yè)面，用戶在這個(gè)特定的頁(yè)面上交的憑據(jù)如果通過(guò)驗(yàn)證并且被授權(quán)成功，那么應(yīng)用程序便會(huì)發(fā)送出該用戶的身份驗(yàn)證票的驗(yàn)證表單，接著再重新定向與用戶起初的請(qǐng)求頁(yè)面。如果出現(xiàn)用戶的二次頁(yè)面請(qǐng)求，請(qǐng)求中就會(huì)直接包括了身份驗(yàn)證表單，二次實(shí)現(xiàn)快速身份驗(yàn)證及授權(quán)。具體如圖1所示。

4 加強(qiáng)ASP.NET安全性的措施

ASP.NET的代碼中存在的篡改參數(shù)，信息泄漏，結(jié)構(gòu)化查詢語(yǔ)言（Structured Query Language，SQL）注入式攻擊，跨站腳本執(zhí)行等都是其安全性能方面主要問題。提高ASP.NET安全性措施有以下幾點(diǎn)[3]。

4.1 域驗(yàn)證器驗(yàn)證參數(shù)的合法性

超級(jí)文本標(biāo)記語(yǔ)言（HyperText Markup Language，HTML）表單中所提交的參數(shù)成了用戶輸入?yún)?shù)的源頭，因此，應(yīng)該加強(qiáng)對(duì)這些參數(shù)合法性的驗(yàn)證，一定程度上避免了服務(wù)器危機(jī)的出現(xiàn)。通過(guò)使用域驗(yàn)證器致使ASP.NET開發(fā)者對(duì)域的值采取限制。比如，用戶在輸入域值的時(shí)候?qū)?huì)受到域驗(yàn)證器的限制，域值必須配備相應(yīng)的表達(dá)公式。特殊字符必然是為首當(dāng)禁止，用戶輸入必須是集合某些合法字符的內(nèi)容。

4.2 預(yù)防驗(yàn)證操作參數(shù)漏洞

僅僅是靠運(yùn)用域驗(yàn)證器對(duì)輸入域值進(jìn)行驗(yàn)證達(dá)不到防止所有參數(shù)的攻擊，某些經(jīng)過(guò)修改之后的參數(shù)依然可以對(duì)服務(wù)器進(jìn)行攻擊。在對(duì)數(shù)值范圍進(jìn)行檢查的時(shí)候，還需要指定正確的數(shù)據(jù)。意思就是在ASP.NET進(jìn)行范圍檢查控件的時(shí)候需要對(duì)輸入域的數(shù)據(jù)要求指定相應(yīng)的Type 屬性，而String就是Type的默認(rèn)值。利用ype屬性指定為Integer的特性，以此保障輸入值都是真實(shí)整數(shù)。

4.3 SQL參數(shù)API代替程序員

由于部門用戶在輸入域的域值當(dāng)中錄入一些特殊字符，使得SQL的查詢失去本來(lái)意義，對(duì)數(shù)據(jù)庫(kù)進(jìn)行欺騙實(shí)現(xiàn)惡意的查詢。為了防止這種惡意的方式，不僅可以使用限制輸入域值的字符外，另外一種更為有效地防止方法就是使用SQL參數(shù)應(yīng)用程序編程接口（Application Programming Interface，API），改變?cè)瓉?lái)程序員進(jìn)行構(gòu)造查詢的方式，由編程環(huán)境底層API代替。

4.4 對(duì)外發(fā)數(shù)據(jù)進(jìn)行編碼

Cross-site scripting（跨站腳本執(zhí)行）就是把一些用戶惡意的輸入放到HTML頁(yè)面上。為了防止這種情況，在HTML頁(yè)面如果出現(xiàn)一些由外部用戶數(shù)據(jù)執(zhí)行輸入驗(yàn)證和HTML編碼，必須確保頁(yè)面只是把數(shù)據(jù)當(dāng)成文本，避免頁(yè)面把輸入數(shù)據(jù)當(dāng)成類似HTML代碼等具備其他特性的內(nèi)容。

5 結(jié)語(yǔ)

由于ASP.NET和 ADO.NET身為微軟公司.NET構(gòu)架中的一部分，現(xiàn)已成為開發(fā)各種網(wǎng)站程序的主流開發(fā)工具，加以有效利用可以很簡(jiǎn)便地構(gòu)造出新型的高效安全網(wǎng)站應(yīng)用程序，具備強(qiáng)大的應(yīng)用前景。因此，ASP.NET的安全性一直都是社會(huì)大眾關(guān)注的焦點(diǎn)，本文通過(guò)了解ASP.NET安全性的實(shí)現(xiàn)基礎(chǔ)，具體對(duì)ASP.NET的Windows身份驗(yàn)證、Forms身份驗(yàn)證、Passport身份驗(yàn)證、表單身份驗(yàn)證進(jìn)行分析，提出相關(guān)的加強(qiáng)ASP.NET安全性的措施，希望在網(wǎng)絡(luò)安全方面起到良好的促進(jìn)作用。

[參考文獻(xiàn)]

[1]周廣清，劉建平.ASP.NET頁(yè)面跳轉(zhuǎn)和參數(shù)傳遞[J].醫(yī)療衛(wèi)生裝備，2015（3）：73-75，102.

[2]崔海波.基于ASP.NET架構(gòu)Web應(yīng)用的安全性研究及應(yīng)用[J].福建電腦，2015（3）：87-89.

[3]鄒宏偉，陳曉濤.基于ASP.NET的網(wǎng)絡(luò)辦公系統(tǒng)設(shè)計(jì)[J].信息與電腦（理論版），2017（8）：120-122.