任何從事ASP.NET開發的人都不得不承認,在其職業生涯中曾經遇到過應用程式安全問題,開發人員常常被迫盡快傳遞代碼,平台的複雜性和各種配置選項讓應用程式的安全總達不到預期,此外,調試和生産環境的配置要求可能會不同,是以,一個常見的問題是将調試配置引入到生産環境,進而造成各種問題。
經過多年的發展,ASP.NET平台已經成熟,MSDN和社群部落格也産生了大量優秀的文檔,但确定使用哪些功能或配置往往是件麻煩事,即使開發人員有着良好的安全意識和安全技能,錯誤總是在所難免,程式中的漏洞仍然很多。同行代碼審查是一個有用的過程,也是早期捕捉問題的很好方法,但不是每個人都有時間或預算做同行評審。
自Visual Studio 2005引入代碼分析功能以來,開發人員可以自動分析他們的代碼,檢視是否遵守了設計、可維護性、性能和安全性的最佳實踐,雖然代碼分析是個好東西,但它一直未為ASP.NET提供最佳安全實踐指南,直到現在。本文将向你介紹新的ASP.NET代碼分析規則,包括Visual Studio代碼分析功能和獨立的FxCop提高ASP.NET應用程式的安全性。
概述
你可以從go.microsoft.com/-?linkid=9750555下載下傳Visual Studio 2010 ASP.NET安全代碼分析規則包和FxCop v10.0,安裝程式包含下面三個新的規則包:
ASP.NET.Security:它重點在System.Web.Ui.Page屬性初始化相關的最佳安全實踐。
ASP.NET.MVC.Security:它重點在如何使用ASP.NET MVC相關的安全最佳實踐。
ASP.NET.Security.Configuration:它重點在web.config檔案下的配置元素相關的安全最佳實踐。
規則包安裝好後,點選“生成”菜單下“網站”按鈕上的“運作代碼分析”,開始自動分析Web應用程式的安全,這個過程會分析應用程式的每個Page類和web.config檔案,與ASP.NET應用程式最佳安全實踐進行對比,給出綜合性的分析結果。例如,一個常見的Web應用程式安全漏洞是跨站請求僞造,它允許攻擊者以其他使用者的身份執行指令,修複這個漏洞的方法是使用Page.ViewStateUserKey屬性,你也可以使用ASP.NET MVC中的AntiForgeryToken,這兩種技術都可以預防對應用程式的惡意重播攻擊,代碼分析将有助于确定使用正确的修複方法。
我從許多開發人員那裡得到的回報是,首次運作代碼分析功能時将會得到許多警告,如圖1所示,不過這些都是很好解決的問題。
圖 1 在錯誤清單警告标簽中列出的警告資訊
為了消除這些警告,每個規則包含一個清晰的指令指出必須修複的地方,以及如何修複,如果需要更多資訊還應該列出一些參考内容,如圖2所示。
圖 2 警告清單中的詳細資訊
代碼分析也可以配置為每次生成操作時運作,點選“網站”*“配置代碼分析”,然後選中“啟用生成時代碼分析(定義CODE_ANALYSIS常量)”選項,如圖3所示。
圖 3 開啟生成期間的代碼分析功能
使用FxCop進行代碼分析
代碼分析功能僅在Visual Studio Premium和Ultimate版中提供,此外,你還可以使用獨立的FxCop工具執行ASP.NET代碼分析,FxCop是Windows SDK的一部分,最新的Windows SDK 7.1可從這裡下載下傳,使用标準的FxCop工具執行分析時需要多做一點工作。
正常情況下,當你編譯Web項目時,頁面标記 - 代碼隐藏檔案中未包括的頁面代碼 - 不會被編譯,它們會原封不動地停留在應用程式的根目錄下,當第一個使用者請求頁面時,标記被編譯進獨立的程式集,這樣更新網站時就不用重新編譯所有代碼。
因為不是所有代碼全部自動編譯,在分析期間有的代碼是不可見的,是以一些重要的安全問題可能被錯過,為了確定所有的代碼在分析過程中可見,你需要強制預編譯所有頁面,可以使用“釋出網站”工具實作預編譯,點選“生成”*“釋出網站”即可,這個工具允許你配置如何釋出網站,以及開啟預編譯功能,取消“允許預編譯網站以更新”選項,點選“确定”,如圖4所示,這樣就會完整編譯整個網站進行分析。
圖 4 使用預編譯釋出網站
ASP.NET分析隻需要FxCop指令行版本的功能,打開指令提示符視窗,切換到FxCop安裝目錄,如果你是32位Windows,則可能是:C:\Program Files (x86)\Microsoft FxCop 10.0,如果是64位Windows,則可能是:C:\Program Files\Microsoft FxCop 10.0。從FxCop安裝目錄運作Fxcop-cmd.exe開始代碼分析,對于一個ASP.NET網站,使用下面這樣的指令:
圖5
/file參數指出要分析的程式集,在這個例子中,我預編譯的網站程式集在H:\MSDN\PrecompiledWeb\MSDNSampleSite\bin下。
/rule參數指定分析期間使用的規則,對于這個例子,我隻使用了三個ASP.NET安全規則:AspNetConfigurationSecurityRules.dll,AspNetMvcSecurity-Rules.dll和ASPNetSecurityRules.dll。
/aspnet參數表示開啟ASP.NET分析,/console參數指出分析結果輸出到指令行視窗。
結語
讓ASP.NET網站更安全是一項艱巨的任務,ASP.NET安全代碼分析規則算是幫了一個大忙,至少你幫你确定一些重大的威脅,正如你從這篇文章看到的,其分析過程很簡單,可以配置為每次生成時運作,讓你可以及早發現問題。
我建議将規則部署到每個開發人員的機器上,也将它們作為TFS(Team Foundation Sever)或其它代碼倉庫檢入(check in)政策的一部分,以便每個開發人員都可以在生成時執行代碼分析和政策。你也可以定制自己的代碼分析規則,如果你想就此做進一步學習和研究,建議去由Duke Kamstra維護的代碼分析團隊部落格逛逛,此外,在Tatham Oddie的部落格中也有很多優秀的文章。