当前位置：首页 » 软件开发

开发技术指南» 文章正文

    引言：

 

 

安全方案:如何构建和配置安全的Web站点

摘要:由 microsoft 工程师使用 microsoft .net framework.microsoft windows 2000 advanced server.internet 信息服务 5.0 与 microsoft sql server 2000 构建的 web 站点,在 eweek openhack 4 竞赛中成功顶住了 82,500 多次攻击,并一举胜出.本文介绍此解决方案的构建与配置方法,并为软件开发人员与系统管理员确保自己的解决方案的安全性提供了最佳方案.（本文包含一些指向英文站点的链接.） 【程序编程相关:防御网络游戏外挂木马全攻略】

【推荐阅读:黑客营传奇故事之三：QQ下的阴谋】

【扩展信息:浅谈黑客入侵的4条途径】

简介

web 应用程序

internet 信息服务 (iis) 5.0

windows 2000 advanced server 操作系统

ip 安全标准 (ipsec) 策略

远程管理与监视

sql server 2000

密码

小结

更多信息

简介

eweek labs 举行了第四届年度 openhack 联机安全性竞赛.此次年度竞赛（这是 microsoft® 第三次参加此项赛事）旨在通过将系统暴露在 web 真实而险恶的环境中来测试企业的安全性.eweek 向 microsoft 与 oracle 提供了 web 应用程序示例,要求双方使用各自的技术重新开发此应用程序.随后,eweek 又邀请美国各地的计算机用户破坏最终站点的安全性,成功者可领取一定数额的奖金.可接受的破坏包括跨站点的脚本攻击.动态 web 页面源代码泄漏.破坏 web 页面.向数据库发送恶意 sql 命令以及窃取所用数据库中的信用卡数据.

microsoft 使用 microsoft® .net framework 开发其应用程序.microsoft® .net framework 是一个完整的 windows 组件,支持构建与运行下一代应用程序与 xml web service.此应用程序以 microsoft® internet 信息服务 (iis) 5.0 为宿主,并使用 microsoft® sql server™ 2000 作为其数据库.所有服务器都运行在 microsoft® windows® 2000 advanced server 操作系统上.（值得注意的是,如果竞赛时已发布带有 iis 6.0 的 microsoft® windows server 2003,则当时会使用此版本的操作系统.如果使用 windows server 2003,则可以省去竞赛中用于“锁定”操作系统与 web 服务器的几个步骤.）

竞赛结果可以在 http://www.eweek.com/category2/1,3960,600431,00.asp 中找到.总而言之,microsoft 的解决方案顶住了 82,500 多次攻击.正如它在第一届与第二届 openhack 竞赛中表现的一样,microsoft 安然无恙地从 openhack 4 竞赛中胜出.本文将对竞赛中使用的各种技术加以介绍,以说明此解决方案的构建与配置方法,并向确保自己的解决方案安全性的开发人员与系统管理员介绍如何应用这些最佳方案.

web 应用程序

此应用程序本身模拟 eweek excellence awards web 站点.在此站点中,用户可以登记其公司的产品或服务以参与获奖评选.用户可以设置一个帐户,以输入产品或服务进行评选,可以提交信用卡号支付报名费,还可以获取有关奖项本身的信息.microsoft 使用 .net framework 构建其解决方案,.net framework 是一个完整的 windows 组件,用于构建与运行应用程序及 xml web service.
...   下一页

» 本期热门文章：

· 热门栏目：

» 相关精选文章

» 其它相关：