摘要:微软工程师使用.NET框架组件、Windows 2000高级服务器,IIS5.0和SQL Server 2000建立的Web站点成功地抵御了82,500次攻击而没有受损。本文介绍了该方案是怎样建立和配置的,能够为软件工程师和系统管理员保护自己的解决方案提供最好的实践。
十月份eWeek实验室举办了第四个OpenHack在线安全比赛。微软是第三次参加,本年度的比赛设计为系统暴露给Web真实世界来测试企业安全性。eWeek给了微软和甲骨文公司各一个简单的Web应用程序,并要求他们用各自的技术重新开发该应用程序。接着所有美国人都被邀请来攻击该结果网站以获取奖金。可接受的破坏包括跨站脚本攻击、动态Web页面源代码泄密、Web页面毁坏、向数据库发送恶意的SQL命令、盗取数据库使用的信用卡数据。
微软使用支持建立和运行下一代应用程序和XML Web服务的集成Windows组件——.NET框架组件开发该应用程序。该应用程序寄宿在微软IIS 5.0中并使用微软SQL Server 2000作为数据库。所有的服务器运行Windows 2000高级服务器操作系统。
结果是微软的方案抵抗住了82,500攻击并没有受损。本文讨论了使用的每一种技术来解释怎样建立和配置解决方案,开发者和系统管理员怎样保护他们的方案。
该应用程序是以eWeek eXcellence Awards Web站点为模型的,在该站点上个人可以提名他们公司的产品或服务来获取奖品。使用该站点,个人能建立一个帐号来输入供评价的产品或服务,提供信用卡号用于支付进入费,获取奖品的信息。微软使用建立和运行应用程序的集成windows组件——.NET框架组件来建立该方案。大多数开发集中于框架组件的ASP.NET、ADO.NET和它提供的密码系统类库,各个地、功能性地建立基于Web的应用程序;访问和操作数据;加密、解密和保证数据地完整性。
