使用VS2010代码分析功能增强ASP.NET应用程序安全

  任何从事ASP.NET开发的人都不得不承认,在其职业生涯中曾经遇到过应用程序安全问题,开发人员常常被迫尽快交付代码,平台的复杂性和各种配置选项让应用程序的安全总达不到预期,此外,调试和生产环境的配置要求可能会不同,因此,一个常见的问题是将调试配置引入到生产环境,从而造成各种问题。

  经过多年的发展,ASP.NET平台已经成熟,MSDN和社区博客也产生了大量优秀的文档,但确定使用哪些功能或配置往往是件麻烦事,即使开发人员有着良好的安全意识和安全技能,错误总是在所难免,程序中的漏洞仍然很多。同行代码审查是一个有用的过程,也是早期捕捉问题的很好方法,但不是每个人都有时间或预算做同行评审。

  自Visual Studio 2005引入代码分析功能以来,开发人员可以自动分析他们的代码,查看是否遵守了设计、可维护性、性能和安全性的最佳实践,虽然代码分析是个好东西,但它一直未为ASP.NET提供最佳安全实践指南,直到现在。本文将向你介绍新的ASP.NET代码分析规则,包括Visual Studio代码分析功能和独立的FxCop提高ASP.NET应用程序的安全性。

  概述
  你可以从go.microsoft.com/-?linkid=9750555下载Visual Studio 2010 ASP.NET安全代码分析规则包和FxCop v10.0,安装程序包含下面三个新的规则包:
  ASP.NET.Security:它重点在System.Web.Ui.Page属性初始化相关的最佳安全实践。
  ASP.NET.MVC.Security:它重点在如何使用ASP.NET MVC相关的安全最佳实践。
  ASP.NET.Security.Configuration:它重点在web.config文件下的配置元素相关的安全最佳实践。

  规则包安装好后,点击“生成”菜单下“网站”按钮上的“运行代码分析”,开始自动分析Web应用程序的安全,这个过程会分析应用程序的每个Page类和web.config文件,与ASP.NET应用程序最佳安全实践进行对比,给出综合性的分析结果。例如,一个常见的Web应用程序安全漏洞是跨站请求伪造,它允许攻击者以其他用户的身份执行命令,修复这个漏洞的方法是使用Page.ViewStateUserKey属性,你也可以使用ASP.NET MVC中的AntiForgeryToken,这两种技术都可以预防对应用程序的恶意重放攻击,代码分析将有助于确定使用正确的修复方法。

  我从许多开发人员那里得到的反馈是,首次运行代码分析功能时将会得到许多警告,如图1所示,不过这些都是很好解决的问题。

 
图 1 在错误列表警告标签中列出的警告信息

  为了消除这些警告,每个规则包含一个清晰的指令指出必须修复的地方,以及如何修复,如果需要更多信息还应该列出一些参考内容,如图2所示。

 
图 2 警告列表中的详细信息

  代码分析也可以配置为每次生成操作时运行,点击“网站”*“配置代码分析”,然后选中“启用生成时代码分析(定义CODE_ANALYSIS常量)”选项,如图3所示。

 
图 3 开启生成期间的代码分析功能

  使用FxCop进行代码分析

  代码分析功能仅在Visual Studio Premium和Ultimate版中提供,此外,你还可以使用独立的FxCop工具执行ASP.NET代码分析,FxCop是Windows SDK的一部分,最新的Windows SDK 7.1可从这里下载,使用标准的FxCop工具执行分析时需要多做一点工作。

  正常情况下,当你编译Web项目时,页面标记 - 代码隐藏文件中未包括的页面代码 - 不会被编译,它们会原封不动地停留在应用程序的根目录下,当第一个用户请求页面时,标记被编译进独立的程序集,这样更新网站时就不用重新编译所有代码。

  因为不是所有代码全部自动编译,在分析期间有的代码是不可见的,因此一些重要的安全问题可能被错过,为了确保所有的代码在分析过程中可见,你需要强制预编译所有页面,可以使用“发布网站”工具实现预编译,点击“生成”*“发布网站”即可,这个工具允许你配置如何发布网站,以及开启预编译功能,取消“允许预编译网站以更新”选项,点击“确定”,如图4所示,这样就会完整编译整个网站进行分析。


图 4 使用预编译发布网站

  ASP.NET分析只需要FxCop命令行版本的功能,打开命令提示符窗口,切换到FxCop安装目录,如果你是32位Windows,则可能是:C:/Program Files (x86)/Microsoft FxCop 10.0,如果是64位Windows,则可能是:C:/Program Files/Microsoft FxCop 10.0。从FxCop安装目录运行Fxcop-cmd.exe开始代码分析,对于一个ASP.NET网站,使用下面这样的命令:

图5

  /file参数指出要分析的程序集,在这个例子中,我预编译的网站程序集在H:/MSDN/PrecompiledWeb/MSDNSampleSite/bin下。
  /rule参数指定分析期间使用的规则,对于这个例子,我只使用了三个ASP.NET安全规则:ASPNETConfigurationSecurityRules.dll,ASPNETMvcSecurity-Rules.dll和ASPNETSecurityRules.dll。
  /ASPNET参数表示开启ASP.NET分析,/console参数指出分析结果输出到命令行窗口。

  结语

  让ASP.NET网站更安全是一项艰巨的任务,ASP.NET安全代码分析规则算是帮了一个大忙,至少你帮你确定一些重大的威胁,正如你从这篇文章看到的,其分析过程很简单,可以配置为每次生成时运行,让你可以及早发现问题。

  我建议将规则部署到每个开发人员的机器上,也将它们作为TFS(Team Foundation Sever)或其它代码仓库检入(check in)策略的一部分,以便每个开发人员都可以在生成时执行代码分析和策略。你也可以定制自己的代码分析规则,如果你想就此做进一步学习和研究,建议去由Duke Kamstra维护的代码分析团队博客逛逛,此外,在Tatham Oddie的博客中也有很多优秀的文章。

NET技术使用VS2010代码分析功能增强ASP.NET应用程序安全,转载需保留来源!

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。