Dictionary
Từ điển:

Từ cần tra:

Latest topics
» ĐTKT : Chơi game hay trúng ngay iPad Air
Tue Aug 26, 2014 4:16 pm by bonghong

» iOnline - Chơi game dân gian nhận quà hấp dẫn
Mon Aug 25, 2014 4:03 pm by bonghong

»  [Hot] : Trúng ngay iPhone 5S cùng iOnline
Sun Aug 24, 2014 10:36 pm by bonghong

» Chơi game bóng đá đường phố
Thu Aug 07, 2014 12:40 am by bonghong

» Mở server mới game Đường tới khung thành
Sun Jul 27, 2014 11:15 pm by bonghong

» iOnline – chơi game hay, trúng ngay iPhone 5S
Thu Jul 24, 2014 3:49 pm by bonghong

» Bóng đá plus - Ứng dụng miễn phí trên di động
Thu Jul 17, 2014 4:15 pm by bonghong

» Chơi bi-a phỏm cực kool trên di động :)
Wed Jul 16, 2014 1:12 am by bonghong

» Billiard Pro: Đấu game bi-a giành Nokia. CỰC HOT!!!
Fri Jul 11, 2014 3:43 pm by bonghong

» Đường tới khung thành - trải nghiệm bóng đá đỉnh cao
Tue Jun 24, 2014 11:46 pm by bonghong

» Chơi liên online hot cho di động
Tue Jun 24, 2014 6:54 pm by bonghong

» những mẹo ăn uống giảm áp huyết cao cholesterol
Mon Jun 23, 2014 4:36 pm by bonghong

» Tải sopcast mới nhất
Thu Jun 12, 2014 12:58 am by bonghong

» Ra mắt game online Đường tới khung thành
Wed Jun 11, 2014 4:32 pm by bonghong

» iBet - Ứng dụng xổ số 3 miền hot nhất cho Mobile ( Tải miễn phí )
Fri May 16, 2014 2:58 pm by bonghong

» iBet - App bóng đá trực tuyến trên di động
Tue Mar 25, 2014 10:37 pm by bonghong

»  Đón đầu vận mệnh cùng Tử vi 2014 (Tải miễn phí)
Tue Dec 31, 2013 10:28 pm by bonghong

» Tử vi mỗi ngày – xem vận mệnh, đoán tương lai
Thu Dec 26, 2013 1:42 am by bonghong

» iBest - Ứng dụng giải trí số 1 cho Mobile
Sun Nov 24, 2013 1:11 am by bonghong

» iBest - Ứng dụng giải trí số 1 cho Mobile
Fri Nov 22, 2013 11:59 pm by bonghong

» iBest - Tra cứu điểm thi ĐHCĐ nhanh nhất, chính xác nhất
Thu Oct 24, 2013 11:17 pm by bonghong

» iBest đồng hành cùng các sĩ tử
Thu Oct 24, 2013 11:06 pm by bonghong

» cpu idle software
Thu Oct 17, 2013 5:21 pm by bonghong

» 10 dấu hiệu chứng tỏ bạn đã "nghiện" Internet
Thu Oct 17, 2013 4:56 pm by bonghong

» Ra mắt ứng dụng Báo Bóng Đá hỗ trợ điện thoại Java
Wed Oct 16, 2013 3:26 pm by bonghong

»  alternative idea for smoking is using electronic cigarette or chewing gum with nicotin
Sat Sep 14, 2013 4:42 pm by bonghong

» tap danh may 10 ngon voi rapidTyping
Sat Sep 14, 2013 4:24 pm by bonghong

» 16 chương trình chuyển đổi video miễn phí tốt nhất
Mon Sep 02, 2013 5:36 pm by bonghong

» Cờ tướng - chinese chess world
Mon Sep 02, 2013 4:51 pm by bonghong

» Phan mem doc tep pdf, tiff
Sun Sep 01, 2013 12:47 am by bonghong

» Từ điển KOOLdic 2010 – Chạy mượt mà với hơn 10 triệu từ!
Wed Jul 31, 2013 1:57 am by bonghong

» [SỰ KIỆN] Tải iBest-vét quà khủng
Tue Jul 23, 2013 3:54 pm by bonghong

» [SỰ KIỆN] Tải iBest-vét quà khủng
Mon Jul 22, 2013 10:06 pm by bonghong

» YourFonts: Chuyển chữ viết tay thành font chữ một cách dễ dàng Nét chữ thể hiện phong
Mon Jul 15, 2013 10:15 pm by bonghong

» Trải nghiệm iBet: Ứng dụng chuyên biệt cho Xổ số-Bóng đá
Fri Jun 28, 2013 12:31 am by bonghong

» iBet - Ứng dụng XỔ SỐ - BÓNG ĐÁ nhanh nhất và nhẹ nhất tại Việt Nam
Fri Jun 28, 2013 12:27 am by bonghong

» luanvan.vn xin gửi đến diển đàn nhà mình một số tài liệu free
Thu May 30, 2013 1:15 am by khainguyenkh12

» Cư dân mạng bị Google nắm những thông tin gì?
Fri Apr 19, 2013 12:49 am by bonghong

» Game - Phỏm, tiến lên ( đánh bài) online, tải miễn phí :
Thu Apr 18, 2013 8:49 pm by bonghong

» Tặng 1000 KEY Avira Antivir Premium
Fri Apr 12, 2013 2:05 am by bonghong

» Phân phối đèn Led, LED chiếu sáng, LED nhà xưởng...
Fri Mar 08, 2013 9:38 pm by vinalight

» MU-GAMEVIET RA MẮT SERVER" PHỤC HƯNG GAME VIỆT"
Thu Dec 20, 2012 9:38 pm by bonghong

» view youtube links outside the forum to save bandwith
Tue Dec 18, 2012 6:46 pm by bonghong

» ibet ứng dụng xổ số bóng đá
Sat Sep 29, 2012 3:35 pm by bonghong

» Sinh tố xoài sữa chua
Wed Aug 29, 2012 6:04 am by Admin

» khoai tây xào thit heo băm nhiễn
Wed Aug 29, 2012 5:42 am by Admin

» gà sốt kiwi
Wed Aug 29, 2012 5:25 am by Admin

» những lời chúc tết hay trong năm 2010
Fri Aug 24, 2012 1:45 am by tan

» iBet - Ứng dụng XỔ SỐ - BÓNG ĐÁ nhanh nhất và nhẹ nhất tại Việt Nam
Tue Aug 21, 2012 4:23 pm by bonghong

» lá lốt chữa bịnh
Thu Aug 16, 2012 10:21 am by tan


6 sai lầm bảo mật cơ bản của chuyên viên .NET

Xem chủ đề cũ hơn Xem chủ đề mới hơn Go down

6 sai lầm bảo mật cơ bản của chuyên viên .NET

Bài gửi by Admin on Sat Jul 25, 2009 6:27 pm

Microsoft bổ sung thêm một số
lượng khổng lồ các tính năng trong môi trường .NET để hỗ trợ cho các
nhà phát triển phần mềm tạo ra những ứng dụng có khả năng bảo mật cao.
Ví dụ, chứng thực đã trở thành một phần không thể thiếu trong môi
trường phát triển, và những thông điệp từ tính năng gỡ rối đã bị ngắt
trong thiết lập mặc định. Những mục tiêu mới trong vấn đề bảo mật đã
buộc các nhà phát triển phần mềm đánh giá lại mức độ bảo mật trong
những chương trình mà họ đã và đang phát triển.

Không phải ai cũng làm điều đó một cách hoàn hảo. Dưới đây là một số sai lầm mà các nhà phát triển .NET thường mắc phải.

1. Không hợp nhất vấn đề bảo mật vào trong quá trình phát triển:
Lập trình các ứng dụng một cách an toàn, nếu có thể hoàn thiện như một
phần của công việc phát triển, thời gian phát triển và chi phí sẽ được
giảm xuống mức độ nhỏ nhất. Thêm vào đó, những chương trình có mức độ
bảo mật cao sẽ trở thành các ứng dụng hàng đầu với nhiều sức mạnh và
giảm thiểu tối đa các lỗi so với các chương trình bảo mật kém. Tuy
nhiên, nếu tính năng bảo mật không được xem xét đến cho đến giai đoạn
kiểm thử hoặc đưa ra cho khách hàng sử dụng thì đó sẽ là một nguyên
nhân làm mất rất nhiều chi phí cho việc làm lại, thời gian trễ và chi
phí vận hành.

2. SQL Injection: SQL Injection là những
hoạt động thông qua mã SQL để tấn công các ứng dụng. Các tấn công được
sử dụng bằng phần nhỏ của câu lệnh SQL để thực thi những lệnh đối với
cơ sở dữ liệu trên máy chủ nếu như các ứng dụng Web sử dụng câu lệnh
SQL mà không có tính năng loại bỏ các ký tự đặc biệt.

Ví dụ, vấn
đề sẽ xảy ra nếu khi người lập trình không bảo vệ hệ thống trước ký tự
nháy đơn (‘), ký tự này được coi là dấu hiệu kết thúc một câu lệnh SQL
và mang lại cho người dùng khả năng truy cập hệ thống và các ứng dụng.

3. Cross-site scripting:
Cross-site scripting do người dùng nhập và trả về kết quả mà không có
mã hóa phù hợp. Cross-site scripting (được biết như XSS hay CSS) xuất
hiện khi các trang web hiển thị những nội dung không đúng giá trị. Tính
năng này cho phép những kẻ tấn công nhúng các mã độc vào JavaScript để
tạo ra các trang web hay các kịch bản thực thi trong máy tính của tất
cả những người sử dụng xem trang web đó.

Những kẻ tấn công sử
dụng Cross-site scripting thành công trong việc thấy được các dữ liệu
nhạy cảm của người dùng, sử dụng và đánh cắp cookies, tạo các truy vấn
gây lỗi cho những người dùng hợp lệ, hoặc thực thi những mã độc trong
hệ thống của người sử dụng.

4. Cho phép người dùng nhập tên file: Các chuyên viên phát triển thường sử dung các tham số như file để diễn tả một người sử dụng.

Ví dụ: myPageGenerator.aspx?Template=Welcome.html

Nếu
tính năng như trên được sử dụng, thì tính năng này đã thể hiện rõ các
file được truy vấn sử dụng trong thư mục. Và hacker có thể câu lệnh
truy vấn và có thể truy cập được đến những file nhạy cảm.

Ví dụ: myPageGenerator.aspx?Template=../../../../../../boot.ini.

5. Sử dụng Cookies và các tham số ẩn không hợp lý:
Các chuyên viên phát triển thường lưu thông tin vào cookies và các tham
số ẩn. Cookies là một mảng thông tin nhỏ được gửi từ máy chủ tới các
trình duyệt trong tiêu đề của HTTP. Các tham số ẩn là tên và giá trị
của những thuộc tính ẩn trong việc điều khiển các mẫu HTML. Rất nhiều
máy chủ web sử dụng cookies và tham số ẩn để lưu các thẻ phiên hay các
phiên dựa trên nền thẻ.

Sai lầm sẽ xảy ra khi người lập trình
lưu giá sản phẩm, số thẻ tín dụng, mã số tài khoản và những thông tin
nhạy cảm khác trên cookies và tham số ẩn. Các chuyên viên phải luôn ý
thức được rằng tin tặc có thể dễ dàng thay đổi cookies.

6. Kích hoạt tính năng gỡ rối trong file Web.Config:
Các đoạn <customErrors> trong file Web.Config sẽ cho các ứng dụng
.NET thấy cách vượt qua những lỗi đó. Các ứng dụng không nên cho người
sử dụng thấy chi tiết các lỗi trong chương trình. Thay vào đó hãy cho
họ thấy những thông điệp “thân thiện” hơn là cho họ thấy trang web đang
sử dụng những công nghệ cao hoặc không hề có công nghệ nào. Các tin tặc
luôn thu nhận được những thông tin đáng giá từ những thông điệp báo
lỗi; kích hoạt các thông báo lỗi trong các ứng dụng ASP.NET là một việc
nghiêm trọng trong vấn đề bảo mật.

Admin
Admin
Admin


Về Đầu Trang Go down

Xem chủ đề cũ hơn Xem chủ đề mới hơn Về Đầu Trang

- Similar topics

 
Permissions in this forum:
Bạn không có quyền trả lời bài viết