| | | | | | | [文章信息] | | | 作者: | 陶刚编译 | | 时间: | 2005-01-25 | | 出处: | 天极网 | | 责任编辑: | 方舟 | |
| [文章导读] | | | 最常见的安全问题是缓冲区溢出,它引发的病毒感染可能比其它原因引发的病毒感染数量的总和还要多...... | |
| |
|
| | | |
|
|
|
|
|
排除非法的字符
黑客经常在输入信息中包含一些额外的非法字符,以了解会发生什么情况。例如,黑客通常会通过添加特定的字符建立脚本。在很多情况下,系统在没有提供任何警告的情况下就会执行脚本,赋予黑客访问系统的权利。对于这种利用方式来说,Web应用程序比桌面应用程序受的影响更大,但是两者你都必须受到保护。
幸运的是,.NET框架组件提供了强大的合格表达式(regular expression)支持。合格表达式定义了可接受的字符串输入,因此你可以轻易地检测到非法的字符。列表4显示了使用合格表达式的一个方法。
列表4:使用合格表达式
代码开头包含了Regex对象。在这种情况下,唯一可以接受的输入是字母(甚至于不能包含空格)。合格表达式旁路了大量的输入信息。实际上,为ASP.NET应用程序提供的很多验证支持中定义了很多的默认模板。其要点在于你可以建立一个字符串,它定义了可接受的输入信息,包含了输入样式(例如电话号码)。
Regex对象可以执行很多比较操作。在例子中它使用Matches()方法对比字符串的长度和参照的数字。当这两个数字匹配的时候,输入信息就是正确的。否则,输入信息就包含了非法的字符,CheckChars()方法会引发异常。
提供高级的用户帮助
很多开发者都不能把帮助与良好的安全性联系到一起,但是良好的帮助的确可以减少用户犯错误来提高安全性。例如,良好的帮助文件可以通过显示应用程序希望接收的信息,从而防止某类用户输入错误信息。减少输入错误可以使我们彻底地分析遗留的错误信息,并最终减少不正确输入带来的安全风险。
帮助可以来自于所有形式,包括有用的错误消息。某些数据类型会提出一些特殊的挑战,而你的应用程序必须处理这些问题以确保数据完整性和安全性。例如,日期就是经常会出现问题的一个数据输入条目。首先,你必须考虑日期的格式。用户可能输入1 June 2003、06/01/2003、June 1, 2003、2003/06/01或其它可接受的变量。你应该约束自己的应用程序,只允许一种日期格式以便于检查日期信息的有效性。但是错误消息和帮助文件可以告诉用户必须使用哪种格式,这样用户使用错误格式输入一个有效日期的时候就不会感到沮丧(因为有帮助提醒格式)。
无论你怎样做,仍然有一些用户试图滥用系统。他们可能使用错误的格式输入日期,甚至于输入根本不包含日期的信息。但是,通过提供良好的帮助,你就拥有了用于询问用户的基本要素了。你可以调用安全性措施来确保用户知道这种行为是不可接受的。减少缓冲区溢出是一个主动的过程。你必须防止无效的输入、为用户提供良好的帮助、并给决心忽视规则的用户惩罚性的措施。
|
|
|
|
|
|
|
|
