EC商務(wù)系統(tǒng)中Web安全性設(shè)計(jì)與實(shí)現(xiàn).pdf

1、本文圍繞基于.NET的Web應(yīng)用的安全性，運(yùn)用了VS.NET和SQL Server 2000等實(shí)現(xiàn)工具，結(jié)合軟件工程的開發(fā)理論，對(duì)商務(wù)系統(tǒng)的安全性，進(jìn)行了需求分析，設(shè)計(jì)，實(shí)現(xiàn)和測(cè)試。其中重點(diǎn)針對(duì)了驗(yàn)證用戶輸入、泄漏給用戶盡量少的信息、保護(hù)Web頁面安全、保護(hù)文件系統(tǒng)數(shù)據(jù)的安全、保護(hù)數(shù)據(jù)庫的安全、加密幾個(gè)方面，進(jìn)行了實(shí)現(xiàn)。將基于角色的安全性與ASP.NET Forms身份驗(yàn)證一起使用，實(shí)現(xiàn)了對(duì)用戶的驗(yàn)證和授權(quán)來達(dá)到保護(hù)Web頁面安全。通過

2、配置ACL來賦予用戶不同的權(quán)限，并對(duì)文件或文件夾數(shù)據(jù)進(jìn)行權(quán)限設(shè)定和不同擴(kuò)展名的文件拒絕訪問，來保護(hù)文件系統(tǒng)數(shù)據(jù)的安全。通過對(duì)數(shù)據(jù)庫連接字符串的存儲(chǔ)以及防止SQL注入攻擊來達(dá)到保護(hù)數(shù)據(jù)庫的安全。并對(duì)重要的數(shù)據(jù)和信息進(jìn)行加密。安全性測(cè)試是驗(yàn)證未經(jīng)授權(quán)的訪問和惡意行為是否能被恰當(dāng)?shù)淖柚?。它需要使用有關(guān)系統(tǒng)漏洞的知識(shí)和黑客技術(shù)，嘗試數(shù)據(jù)的多個(gè)排列組合，來驗(yàn)證Web應(yīng)用程序的安全性。系統(tǒng)中的每個(gè)Web應(yīng)用程序都必須經(jīng)過測(cè)試，驗(yàn)證其是否滿足功能規(guī)格