Web应用程序的威胁与对策(10)

锁定具有受限制的 NTFS 权限的文件和文件夹。 在 应用程序内使用 .NET Framework 访问控制机制，包括 URL 授权和主要权限要求。

返回页首

应用程序威胁和对策

分析应用程序级别威胁的较好方法是将其按照应用程序漏洞类别来组织。表 2.2 中总结了本模块的后续部分和整个指南所使用的各种类别，以及对您的应用程序的主要威胁。

表 2.2：按应用程序漏洞类别分类的威胁

返回页首 输入验证

如果攻击者发现您的应用程序对输入数据的类型、长度、格式或范围进行了无理由的假设，则输入验证是一个安全问题。攻击者然后便可提供精心设计的输入，从而危及您的应用程序的安全。

当网络和主机级别入口点完全安全时，您的应用程序所暴露的公共接口则成为攻击的唯一来源。对您的应用程序进行输入既是测试系统的方法，也是执行对于攻击者有益的代码的方法。您的应用程序会盲目信任输入吗？如果是这样，则您的应用程序可能容易受下列情况的影响：

缓冲区溢出 跨站点脚本 SQL 插入