≡ 全部服务分类
≡ 全部服务分类
  • 注册公司
    公司注册
    公司注册
    注册地址
    银行开户
    公司变更
    股权变更
    注册地址变更
    经营范围变更
    法人、高管或注册资本变更
    公司名称变更
    公司章证遗失补办
    注销及其他
    公司注销
    年报公示
    五证合一
    工商解异常
  • 财税记账
    代理记账
    小规模代理记账
    一般纳税人代理记账
    税务代办
    发票代办
    税控代办
    税务解锁
    所得税汇算清缴
    办理一般纳税人资质
    审计评估
    财务审计
    验资报告
    资产评估
  • 资质许可
    电商
    游戏运营资质
    游戏版号
    游戏备案
    游戏联合运营
    游戏联合运营
    游戏著作权
    医药行业资质
    医疗机械经营许可证
    互联网药品交易服务许可证
    互联网药品信息/交易系统
    (原)互联网保健信息服务许可证
    互联网药品信息服务许可证
    金融行业资质
    互联网支付
    银行卡收单(POS收单)
    预付卡发行与受理
    私募基金登记备案
    “新三版”上市咨询
    电信业务资质
    国内甚小口径终端地球站通信业务
    用户驻地网业务
    网络托管业务
    固定网国内数据传送业务
    互联网数据中心业务(IDC)
    IDC/ISP/CDN系统评测/机房建设
    互联网域名解析服务业务
    内容分发网络业务(CDN)
    在线数据处理与交易业务(EDI)
    信息服务业务(仅含互联网)
    互联网接入服务业务(ISP)
    国内多方通信服务业务许可证
    信息服务业务(不含互联网)
    呼叫中心许可证
    存储转发业务许可证
    企业短信
    文化审批
    游戏类文网文
    非游戏类文网文
    虚拟货币类文网文
    营业性演出许可证
    美术品进出口经营活动审批
    出版行业资质
    出版物经营许可证
    网络出版许可证
    人力资源行业资质
    人力资源服务许可证
    劳务派遣行政许可证
    视听行业资质
    网络视听许可证
    广播电视节目制作经营许可证
    电视剧制作许可证
    电视剧发行许可证
    摄制电影许可证
    电影发行经营许可证
    电影放映经营许可证
    动画片发行许可证
    网站备案
    ICP备案
    公安网备案
    经营性网站备案
  • 知识产权
    商标业务
    国内商标注册
    国际商标注册
    商标续展
    商标转让
    商标变更
    商标补证
    商标异议及异议答辩
    商标评审(驳回复审、异议复审、撤销注册)
    驰名商标认定
    香港商标注册
    商标许可合同备案
    专利业务
    专利国内、国外申请
    宣告专利无效
    专利复审
    专利转让、变更
    版权业务
    国内作品登记
    软件著作权登记
    科技项目认证
    高新技术企业认定
    贯标
    补助类型项目申报
    法律服务
    知识产权培训
    知识产权法律服务
    法律咨询代理
  • 高新资质
  • 社保人事
  • 专业律师
搜索
132-9703-8121
/155-2715-1570

在ASP.NET编程中的十种安全措施

发表时间:2017-12-26 00:00

一、 MD5 加密用户密码

本系统用户密码采用MD5加密,这是一种安全性非常高的加密算法,是普遍使用广泛应用于文件验证,银行密码加密等领域,由于这种加密的不可逆性,在使用10位以上字母加数字组成的随机密码时,几乎没有************的可能性。

二、 COOKIES加密a

保存COOKIES时,对保存于COOKIES中的数据采用了以MD5加密为基础,加入随机加密因子的改进型专用加密算法。由于使用的不是标准MD5加密,因此COOKIES中保存的数据不可能被解密。因此,黑客试图用伪造COOKIES攻击系统变得完全不可能,系统用户资料变得非常安全。

三、 SQL注入防护

系统在防SQL注入方面,设置了四道安全防护:

第一、 系统级SQL防注入检测,系统会遍历检测所有用GET、POST、COOKIES提交到服务器上的数据,如发现有可能用于构造可注入SQL的异常代码,系统将终止程序运行,并记录日志。这一道安全防护加在连接数据库之前,能在连接数据库前挡处几乎所有的SQL注入和危害网站安全的数据提交。

第二、 程序级安全仿SQL注入系统,在应用程序中,在构建SQL查询语句前,系统将对由外部获取数据,并带入组装为SQL的变量进行安全性验证,过滤可能构成注入的字符。

第三、 禁止外部提交表单,系统禁止从本域名之外的其它域名提交表单,防止从外部跳转传输攻击性代码。

第四、数据库操作使用存储过程 系统所有的重要数据操作,均使用存储过程完成,避免组装SQL字符串,令即使通过了层层SQL注入过滤的攻击性字符仍然无法发挥作用。

四、 木马和病毒防护

针对可能的木马和病毒问题,系统认为,在服务器设置安全的情况下,外部带来的安全问题,主要是用户可能上传病毒和木马,作了如下四层的防护

第一、 客户端文件检测,在上传之前,对准备上传的文件进行检测,如果发现不是服务器设置的允许上传的文件类型,系统拒绝进行上传。如果客户端屏蔽了检测语句,则上传程序同时被屏蔽,系统无法上传任何文件。

第二、 服务器端文件安全性检测,对上传到服务器的文件,程序在将文件写入磁盘前,检测文件的类型,如发现是可能构成服务器安全问题的文件类型,即所有可以在服务器上执行的程序,系统都拒绝写入磁盘。以此保证不被上传可能在服务器上传播的病毒和木马程序。

第三、对有权限的服务器,系统采用即上传即压缩策略,所有上传的除图片文件、视频文件外,其它各种类型的文件一但上传,立即压缩为RAR,因此,即使包含木马也无法运行。不能对网站安全带来威胁。

第四、底层的文件类型检测系统对文件类型作了底层级检测,由于不仅检测扩展名,而是对文件的实际类型进行检测,所以无法通过改扩展名方式逃过安全性验证。

五、 权限控制系统

系统设置了严格有效的权限控制系统,何人可以发信息,何人能删除信息等权限设置系统一共有数十项详细设置,并且网站不同栏目可以设置完全不同的权限,所有权限均在多个层次上严格控制权限。

六、IP记录

IP地址库 除记录所有重要操作的IP外,还记录了IP所在地区,系统中内置约了17万条IP特征记录。

详细的IP记录所有的创建记录、编辑记录行为(如发文章,发评论,发站内信等),均记录此操作发生的IP,IP所在地区,操作时间,以便日后备查。在发现安全问题时,这些数据会非常关键和必要。

七、隐藏的程序入口

有全站生成静态页 系统可以全站生成HTML静态文件,使网站的执行程序不暴露在WEB服务中,HTML页不和服务器端程序交互,黑客很难对HTML页进行攻击,很难找到攻击目标。

八、有限的写文件

系统所有的写文件操作只发生于一个UPFILE目录,而此目录下的文件均为只需读写即可,可通过WINDOWS安全性设置,设置此目录下的文件只读写,不执行,而程序所在的其它文件夹只要执行和读权限,从而使破坏性文件无法破坏所有程序执行文件,保证这些文件不被修改。

九、作了MD5校验的订单数据

在商城订单处理中,对提交的订单信息作了MD5校验,从而保证数据不被非法修改。

十、编译执行的代码

由于基于.net开发,代码编译执行,不但更快,也更安全

我用这些办法,作的网站程序叫网站快车,大家去看看,是不是安全。

分享到:
关于创业壹村 了解我们 加入我们 联系我们
常见问题 新手帮助 支付帮助 开具发票 知识库


扫描二维码
关注创业壹村微信
创业一手掌握
服务支持 热线电话:132-9703-8121
联系人:陈经理
联系电话:155-2715-1570 周一至周日8:00-22:00
首页        |       公司注册       |        代理记账        |        资质许可        |        商标注册
在线客服
 工作时间
周一至周五 :8:30-18:00
周六至周日 :9:00-18:00
 联系方式
客服热线:132-9703-8121
咨询电话:155-2715-1570
关注创业壹村微信公众号
会员登录
登录
其他账号登录:
我的资料
购物车
0
留言
回到顶部