




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、WindowsWindows應(yīng)用程序開發(fā)入門到精通十二:應(yīng)用程序開發(fā)入門到精通十二:將平安隱患扼殺在搖籃之中將平安隱患扼殺在搖籃之中Live Meeting 2005新特性新特性n清晰音質(zhì)清晰音質(zhì)與微軟資深講師的零距離接觸與微軟資深講師的零距離接觸n實時講義下載實時講義下載輕松獲得第一手資料輕松獲得第一手資料n中文交互中文交互強大的中文提問平臺,想問就問,強大的中文提問平臺,想問就問, 沒有困擾沒有困擾n內(nèi)容更精彩內(nèi)容更精彩開發(fā),集成,架構(gòu)設(shè)計,開發(fā),集成,架構(gòu)設(shè)計, 工程管工程管理,應(yīng)有盡有理,應(yīng)有盡有課程介紹課程介紹n這次這次Webcast會給大家介紹如何應(yīng)用會給大家介紹如何應(yīng)用.NET
2、Framework中的特性來保護代碼的平安中的特性來保護代碼的平安根底內(nèi)容根底內(nèi)容n熟悉熟悉.NET開發(fā)開發(fā)nLEVEL 300課程安排課程安排n身份驗證身份驗證n授權(quán)授權(quán)n加密加密n強命名程序集強命名程序集n代碼訪問平安代碼訪問平安n中間層平安中間層平安n如何防止如何防止SQL注入注入身份驗證身份驗證n使用使用Credential來唯一標明一個用戶來唯一標明一個用戶n可以使用可以使用Microsoft Windows的集成身份驗證,使用的集成身份驗證,使用用戶登錄用戶登錄Windows時的用戶憑證時的用戶憑證n編寫自己的用戶身份驗證的程序,應(yīng)用程序來管編寫自己的用戶身份驗證的程序,應(yīng)用程序來
3、管理用戶憑證。理用戶憑證。n接口和接口和類類nSystem.Security.Principal.WindowsIdentity.GetCurrent().Name演示一演示一nAuthenticationAuthorizationn使用基于角色的平安使用基于角色的平安n可以通過編程實現(xiàn)基于角色的授權(quán)可以通過編程實現(xiàn)基于角色的授權(quán)n角色可以代表商業(yè)流程中的工作職責(zé),例如:秘角色可以代表商業(yè)流程中的工作職責(zé),例如:秘書、經(jīng)理、管理員、總監(jiān)等書、經(jīng)理、管理員、總監(jiān)等n用角色的方式來管理用戶會更加簡便用角色的方式來管理用戶會更加簡便如何使用基于角色的平安如何使用基于角色的平安nPrincipalPe
4、rmissionAttrivute和和SecurityAction.Demandn _Public Class AdminClassnIPrincipal.isInRole()nlblBossMan.Visible = _Context.User.IsInRole(“BossMan)ntbToBeChangedOnlyByQueenBee.ReadOnly = Not _Context.User.IsInRole(“QueenBee)演示二演示二nAuthorization加密加密n加密將字節(jié)打亂加密將字節(jié)打亂n對稱加密與非對稱加密對稱加密與非對稱加密n對稱加密適用一個相同的密鑰進行加密對稱加
5、密適用一個相同的密鑰進行加密/解密解密n非對稱加密使用一個密鑰對進行加密非對稱加密使用一個密鑰對進行加密/解密,加密解密,加密與解密的密鑰是不同的公鑰與解密的密鑰是不同的公鑰/私鑰對私鑰對n非對稱加密算法更加平安非對稱加密算法更加平安n對稱加密算法更加高效對稱加密算法更加高效n名稱空間名稱空間n如何進行密鑰管理如何進行密鑰管理演示三演示三n加密加密Code Access Securityn最低權(quán)限的策略最低權(quán)限的策略nCode Group按照邏輯分類的代碼組合按照邏輯分類的代碼組合nCode Group可以按照多種方式劃分可以按照多種方式劃分URL,strong name,zone,etcnP
6、ermission Sets許可集,用來定義代碼能夠訪許可集,用來定義代碼能夠訪問的資源:文件問的資源:文件I/O,Isolated Storage獨立存儲,獨立存儲,SQL客戶端,等等??蛻舳耍鹊?。nLink demandsDemo Fourn代碼訪問平安代碼訪問平安強命名應(yīng)用程序集強命名應(yīng)用程序集n使用使用sn.exe工具來創(chuàng)立強命名公鑰工具來創(chuàng)立強命名公鑰/私鑰對,并存儲在文件當私鑰對,并存儲在文件當中:中:sn.exe k Northwind.snknAssemblyKeyFileAttributen優(yōu)勢優(yōu)勢n可以被裝載到可以被裝載到GAC當中當中nSide-by-side部署,支持
7、多個版本的應(yīng)用程序集部署,支持多個版本的應(yīng)用程序集n在編譯時,在編譯時,.NET的客戶端代碼使用了強命名應(yīng)用程序集,在的客戶端代碼使用了強命名應(yīng)用程序集,在運行時能夠有效地防止裝入運行時能夠有效地防止裝入“木馬應(yīng)用程序集木馬應(yīng)用程序集Delayed Signingn私鑰保密性,確保開發(fā)團隊中的多個組建使用相私鑰保密性,確保開發(fā)團隊中的多個組建使用相同的強命名同的強命名n只導(dǎo)出公鑰只導(dǎo)出公鑰sn -p Northwind.snk NorthwindPublicOnly.snknSn -Vr :關(guān)閉對只擁有公鑰的強命:關(guān)閉對只擁有公鑰的強命名應(yīng)用程序集進行驗證名應(yīng)用程序集進行驗證nSn -R :在
8、發(fā)布之前:在發(fā)布之前對應(yīng)用程序集進行緩簽名對應(yīng)用程序集進行緩簽名Link Demandsn連接請求發(fā)生在外部的代碼對本應(yīng)用程序集進行連接請求發(fā)生在外部的代碼對本應(yīng)用程序集進行調(diào)用的時候調(diào)用的時候n名稱空間名稱空間n例如:例如:StrongNameIdentityPermission屬性屬性n從某個應(yīng)用程序集中提取公鑰標示一個十六進從某個應(yīng)用程序集中提取公鑰標示一個十六進制的字符序列制的字符序列sn -Tp NorthwindModel.dlln例如:例如:StrongNameIdentityPermission( _SecurityAction.LinkDemand, _PublicKey:=
9、“002400000d6, _Version:=“)Middle Tier平安平安n最現(xiàn)成的方法,最現(xiàn)成的方法,COM+是最平安的解決方案是最平安的解決方案與與Windows整合并支持配置整合并支持配置nWeb Service的平安可以通過的平安可以通過HTTPS和和IIS平安來控制平安來控制n當不能使用當不能使用IIS平安的時候,可以使用平安的時候,可以使用WS-SecurityWeb Service Enhancements的一局部來保證平的一局部來保證平臺之間的臺之間的Web Service平安平安nRemoting平安平安nIIS宿主和宿主和TCP,使用,使用IIS平安和
10、平安和HTTPSn其他宿主,需要實現(xiàn)定制的其他宿主,需要實現(xiàn)定制的Channel或或Sink演示五演示五n中間層平安中間層平安SQL注入注入nSQL注入這種威脅發(fā)生在動態(tài)生成注入這種威脅發(fā)生在動態(tài)生成SQL查詢語句的查詢語句的時候,動態(tài)生成的時候,動態(tài)生成的SQL語句可能會被篡改語句可能會被篡改n例如:例如:string sql = “select * from users where UserID = +UserID + “ and password= + Password + “n如果在上面的如果在上面的SQL語句中參加語句中參加OR 1 = 1這個條件,這個條件,users表中的所有數(shù)據(jù)
11、將最為結(jié)果返回表中的所有數(shù)據(jù)將最為結(jié)果返回n所有使用動態(tài)所有使用動態(tài)SQL查詢的應(yīng)用程序都有可能受到這查詢的應(yīng)用程序都有可能受到這種威脅種威脅n為了防御這種攻擊,去掉所有的動態(tài)為了防御這種攻擊,去掉所有的動態(tài)SQL查詢:查詢:使用使用ADO.NET中的中的SqlParameters演示六演示六n防止防止SQL注入攻擊注入攻擊平安設(shè)計目標平安設(shè)計目標n最小化攻擊范圍最小化攻擊范圍n分析具體的攻擊并阻止它們:分析具體的攻擊并阻止它們:n拒絕效勞攻擊拒絕效勞攻擊n基于文件或目錄的攻擊基于文件或目錄的攻擊nSQL注入注入n引誘攻擊引誘攻擊Luringn防患于未然,提早預(yù)知新的攻擊防患于未然,提早預(yù)知新
12、的攻擊n使用經(jīng)過驗證的平安技術(shù):身份驗證,給予角色使用經(jīng)過驗證的平安技術(shù):身份驗證,給予角色的授權(quán),的授權(quán),HTTPS,加密,加密總結(jié)總結(jié)n.NET包括了強大的內(nèi)建的平安特性包括了強大的內(nèi)建的平安特性n具體問題具體分析,根據(jù)情況來選擇平安技術(shù),具體問題具體分析,根據(jù)情況來選擇平安技術(shù),編寫平安的基于編寫平安的基于Windows Forms的代碼的代碼n不需要絞盡腦汁去創(chuàng)造新的平安代碼不需要絞盡腦汁去創(chuàng)造新的平安代碼更多信息更多信息n平安開發(fā)中心平安開發(fā)中心 n.NET相關(guān)的平安書籍相關(guān)的平安書籍nWS-Security 聲音調(diào)查:聲音調(diào)查:n請大家通過投票的方式,正確的請大家通過投票的方式,正確的選擇,您在本次收聽講座的選擇,您
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025年加拿大移民英語考試(CELPIP)生活與工作場景真題模擬試卷(日常對話篇)
- 2025年消防安全應(yīng)急處置員應(yīng)急疏散考試試題
- 醫(yī)學(xué)生心理健康教育課件
- 2025年人力資源管理師一級專業(yè)技能方案設(shè)計實戰(zhàn)案例與模擬試題
- 財務(wù)成本管理復(fù)習(xí)checklist試題及答案
- 安徽省六安市第一中學(xué)2017-2018學(xué)年高二政治上學(xué)期第二次階段性考試試題(含解析)
- IGCSE英語語言2024-2025年模擬試卷文學(xué)分析閱讀與寫作技巧
- 高中生物必修二模塊生態(tài)學(xué)專題測試卷2025版
- 2025證券分析師研究報告業(yè)務(wù)沖刺卷(含財報分析)真題解析
- Delphi異常類型與處理試題及答案
- 電力運維管理平臺方案設(shè)計
- 安全培訓(xùn)管理體系
- 古詩教案模板范文
- 屠宰場安全培訓(xùn)
- 光伏電站運維課件
- 廠區(qū)綠化環(huán)境提升方案
- 南京工業(yè)大學(xué)《化工廢水處理》2022-2023學(xué)年第一學(xué)期期末試卷
- 高三第二輪復(fù)習(xí)之文言翻譯(李麗君)省公開課獲獎?wù)n件市賽課比賽一等獎?wù)n件
- 科研機構(gòu)科技創(chuàng)新激勵制度
- 教輔資料進校園審批制度
- 產(chǎn)品代理合同協(xié)議書2024年
評論
0/150
提交評論