Share via

Защищенные клиентские приложения (ADO.NET)

  • Статья

Обычно приложения состоят из многих частей, которые необходимо защищать от уязвимостей, которые могут привести к потере данных или иным образом нарушить безопасность системы. Создавая защищенные пользовательские интерфейсы, можно предотвратить многие проблемы за счет блокирования организаторов атак до того, как они получат доступ к данным или системным ресурсам.

Проверка ввода пользователя

При построении приложения, которое работает с данными следует, пока не было доказано обратного, рассматривать все действия пользователя злонамеренными. Несоблюдение этого правила может привести к созданию уязвимого для атак приложения. Платформа .NET Framework содержит классы, позволяющие вводить в действие домен значений для элементов управления, например, ограничивающих число символов, которое можно ввести. При помощи обработчиков событий (hooks) можно писать процедуры для проверки допустимости значений. Данные ввода пользователей можно проверять и строго типизировать, ограничивая тем самым уязвимость приложения для эксплойтов скриптов и атак путем внедрения кода SQL.

Примечание о безопасностиПримечание по безопасности

Кроме того, также следует проверять ввод пользователя в источнике данных и в клиентском приложении.Злоумышленник может обойти приложение и атаковать источник данных напрямую.

Windows-приложения

Раньше Windows-приложения обычно выполнялись с полными разрешениями. Платформа .NET Framework предоставляет инфраструктуру для ограничения выполнения кода в Windows-приложении при помощи управления доступом для кода (CAS). Однако только механизма CAS для защиты приложения не достаточно.

ASP.NET и веб-службы XML

Доступ к некоторым разделам веб-узла для приложений ASP.NET обычно необходимо ограничивать и обеспечивать другие механизмы защиты данных и обеспечения безопасности узлов. Эти ссылки ведут к полезным сведениям, описывающим защиту приложений ASP.NET.

Веб-служба XML предоставляет данные, которые могут потреблять приложение ASP.NET, приложение Windows Forms или другая веб-служба. Необходимо обеспечивать безопасность самой веб-службы, а также клиентского приложения.

Дополнительные сведения см. в следующих ресурсах.

Ресурс

Описание

Безопасность ASP.NET

Обсуждается, как защищать приложения ASP.NET.

Securing XML Web Services Created Using ASP.NET

Обсуждается, как обеспечивать безопасность веб-службы ASP.NET.

Общие сведения об использовании скриптов

Обсуждается, как защищаться от атак эксплойта скриптов, которые пытаются вставить вредоносные символы в веб-страницу.

Basic Security Practices for ASP.NET Web Applications

Общие сведения о безопасности и ссылки на дополнительные разделы.

Удаленное взаимодействие

Возможности по удаленному взаимодействию платформы .NET позволяют строить широко распределенные приложения независимо от того, находятся ли все компоненты приложения на одном компьютере или разбросаны по всему миру. Она дает возможность разрабатывать клиентские приложения, которые используют объекты в других процессах на том же компьютере или на любом другом компьютере, доступном по сети. Возможности по удаленному взаимодействию платформы .NET можно также применять для обмена данными с другими доменами приложений в рамках одного процесса.

Ресурс

Описание

Configuration of Remote Applications

Обсуждается, как настраивать удаленно взаимодействующие приложения, чтобы избежать обычных проблем.

Security in Remoting

Описывает проверку подлинности и шифрование, а также другие разделы безопасности, имеющие отношение к удаленному взаимодействию.

Вопросы безопасности при удаленном взаимодействии

Описывает вопросы безопасности в отношении защищенных объектов и пересечения доменов приложений.

См. также

Основные понятия

Рекомендации по стратегиям доступа к данным

Защита приложений

Защита сведений о соединении (ADO.NET)

Другие ресурсы

Защита приложений ADO.NET