Бөлісу құралы:


Безопасные клиентские приложения

Обычно приложения состоят из многих частей, которые необходимо защищать от уязвимостей, которые могут привести к потере данных или иным образом нарушить безопасность системы. Создавая защищенные пользовательские интерфейсы, можно предотвратить многие проблемы за счет блокирования организаторов атак до того, как они получат доступ к данным или системным ресурсам.

Проверка ввода пользователя

При построении приложения, которое работает с данными следует, пока не было доказано обратного, рассматривать все действия пользователя злонамеренными. Несоблюдение этого правила может привести к созданию уязвимого для атак приложения. Платформа .NET Framework содержит классы, позволяющие вводить в действие домен значений для элементов управления, например, ограничивающих число символов, которое можно ввести. При помощи обработчиков событий (hooks) можно писать процедуры для проверки допустимости значений. Данные ввода пользователей можно проверять и строго типизировать, ограничивая тем самым уязвимость приложения для эксплойтов скриптов и атак путем внедрения кода SQL.

Внимание

Кроме того, также следует проверять ввод пользователя в источнике данных и в клиентском приложении. Злоумышленник может обойти приложение и атаковать источник данных напрямую.

Безопасность и ввод данных пользователем
Описывает, как обрабатывать неявные и потенциально опасные ошибки, связанные с вводом пользователя.

Проверка входных данных пользователей в веб-страницы ASP.NET
Общие сведения о проверке ввода пользователя при помощи элементов управления проверкой ASP.NET.

Ввод данных пользователем в Windows Forms
Приводятся ссылки и сведения о проверке действий, произведенных при помощи мыши и клавиатуры, в приложении Windows Forms.

Регулярные выражения в .NET Framework
Описывает, как использовать класс Regex для проверки допустимости ввода пользователя.

Windows-приложения

Безопасность Windows Forms
Рассказывается, как защищать приложения Windows Forms. Здесь также приводятся ссылки на связанные разделы.

Windows Forms and Unmanaged Applications
Описывает, как взаимодействовать с неуправляемыми приложениями в приложении Windows Forms.

Развертывание ClickOnce для форм Windows Forms
Описывается использование развертывания ClickOnce в приложении Windows Forms, а также обсуждаются вопросы безопасности.

ASP.NET и веб-службы XML

Доступ к некоторым разделам веб-узла для приложений ASP.NET обычно необходимо ограничивать и обеспечивать другие механизмы защиты данных и обеспечения безопасности узлов. Эти ссылки ведут к полезным сведениям, описывающим защиту приложений ASP.NET.

Веб-служба XML предоставляет данные, которые могут потреблять приложение ASP.NET, приложение Windows Forms или другая веб-служба. Необходимо обеспечивать безопасность самой веб-службы, а также клиентского приложения.

Для получения дополнительных сведений см. следующие ресурсы.

Ресурс Description
Защита веб-сайтов ASP.NET Обсуждается, как защищать приложения ASP.NET.
Защита веб-служб XML, созданных с помощью ASP.NET Обсуждается, как обеспечивать безопасность веб-службы ASP.NET.
Обзор эксплойтов скриптов Обсуждается, как защищаться от атак эксплойта скриптов, которые пытаются вставить вредоносные символы в веб-страницу.
Основные методики безопасности для веб-приложений Общие сведения о безопасности и ссылки на дополнительные разделы.

Удаленное взаимодействие

Система удаленного взаимодействия .NET позволяет создавать широко приложения с высокой степенью распределенности независимо от того, находятся компоненты приложения на одном компьютере или разбросаны по всему миру. Она дает возможность разрабатывать клиентские приложения, которые используют объекты в других процессах на том же компьютере или на любом другом компьютере, доступном по сети. Возможности по удаленному взаимодействию платформы .NET можно также применять для обмена данными с другими доменами приложений в рамках одного процесса.

Ресурс Description
Настройка удаленных приложений Обсуждается, как настраивать удаленно взаимодействующие приложения, чтобы избежать обычных проблем.
Безопасность в удаленном взаимодействии Описывает проверку подлинности и шифрование, а также другие разделы безопасности, имеющие отношение к удаленному взаимодействию.
Вопросы безопасности и удаленного взаимодействия Описывает вопросы безопасности в отношении защищенных объектов и пересечения доменов приложений.

См. также