任何从事ASP.NET开发的人都不得不承认,在其职业生涯中曾经遇到过应用程序安全问题,开发人员常常被迫尽快交付代码,平台的复杂性和各种配置选项让应用程序的安全总达不到预期,此外,调试和生产环境的配置要求可能会不同,因此,一个常见的问题是将调试配置引入到生产环境,从而造成各种问题。
经过多年的发展,ASP.NET平台已经成熟,MSDN和社区博客也产生了大量优秀的文档,但确定使用哪些功能或配置往往是件麻烦事,即使开发人员有着良好的安全意识和安全技能,错误总是在所难免,程序中的漏洞仍然很多。同行代码审查是一个有用的过程,也是早期捕捉问题的很好方法,但不是每个人都有时间或预算做同行评审。
自Visual Studio 2005引入代码分析功能以来,开发人员可以自动分析他们的代码,查看是否遵守了设计、可维护性、性能和安全性的最佳实践,虽然代码分析是个好东西,但它一直未为ASP.NET提供最佳安全实践指南,直到现在。本文将向你介绍新的ASP.NET代码分析规则,包括Visual Studio代码分析功能和独立的FxCop提高ASP.NET应用程序的安全性。
概述
你可以从go.microsoft.com/-?linkid=9750555下载Visual Studio 2010 ASP.NET安全代码分析规则包和FxCop v10.0,安装程序包含下面三个新的规则包:
ASP.NET.Security:它重点在System.Web.Ui.Page属性初始化相关的最佳安全实践。
ASP.NET.MVC.Security:它重点在如何使用ASP.NET MVC相关的安全最佳实践。
ASP.NET.Security.Configuration:它重点在web.config文件下的配置元素相关的安全最佳实践。
规则包安装好后,点击“生成”菜单下“网站”按钮上的“运行代码分析”,开始自动分析Web应用程序的安全,这个过程会分析应用程序的每个Page类和web.config文件,与ASP.NET应用程序最佳安全实践进行对比,给出综合性的分析结果。例如,一个常见的Web应用程序安全漏洞是跨站请求伪造,它允许攻击者以其他用户的身份执行命令,修复这个漏洞的方法是使用Page.ViewStateUserKey属性,你也可以使用ASP.NET MVC中的AntiForgeryToken,这两种技术都可以预防对应用程序的恶意重放攻击,代码分析将有助于确定使用正确的修复方法。
我从许多开发人员那里得到的反馈是,首次运行代码分析功能时将会得到许多警告,如图1所示,不过这些都是很好解决的问题。
为了消除这些警告,每个规则包含一个清晰的指令指出必须修复的地方,以及如何修复,如果需要更多信息还应该列出一些参考内容,如图2所示。
代码分析也可以配置为每次生成操作时运行,点击“网站”*“配置代码分析”,然后选中“启用生成时代码分析(定义CODE_ANALYSIS常量)”选项,如图3所示。
使用FxCop进行代码分析
代码分析功能仅在Visual Studio Premium和Ultimate版中提供,此外,你还可以使用独立的FxCop工具执行ASP.NET代码分析,FxCop是Windows SDK的一部分,最新的Windows SDK 7.1可从这里下载,使用标准的FxCop工具执行分析时需要多做一点工作。
正常情况下,当你编译Web项目时,页面标记 - 代码隐藏文件中未包括的页面代码 - 不会被编译,它们会原封不动地停留在应用程序的根目录下,当第一个用户请求页面时,标记被编译进独立的程序集,这样更新网站时就不用重新编译所有代码。
因为不是所有代码全部自动编译,在分析期间有的代码是不可见的,因此一些重要的安全问题可能被错过,为了确保所有的代码在分析过程中可见,你需要强制预编译所有页面,可以使用“发布网站”工具实现预编译,点击“生成”*“发布网站”即可,这个工具允许你配置如何发布网站,以及开启预编译功能,取消“允许预编译网站以更新”选项,点击“确定”,如图4所示,这样就会完整编译整个网站进行分析。
ASP.NET分析只需要FxCop命令行版本的功能,打开命令提示符窗口,切换到FxCop安装目录,如果你是32位Windows,则可能是:C:\Program Files (x86)\Microsoft FxCop 10.0,如果是64位Windows,则可能是:C:\Program Files\Microsoft FxCop 10.0。从FxCop安装目录运行Fxcop-cmd.exe开始代码分析,对于一个ASP.NET网站,使用下面这样的命令:
图5
/file参数指出要分析的程序集,在这个例子中,我预编译的网站程序集在H:\MSDN\PrecompiledWeb\MSDNSampleSite\bin下。
/rule参数指定分析期间使用的规则,对于这个例子,我只使用了三个ASP.NET安全规则:AspNetConfigurationSecurityRules.dll,AspNetMvcSecurity-Rules.dll和ASPNetSecurityRules.dll。
/aspnet参数表示开启ASP.NET分析,/console参数指出分析结果输出到命令行窗口。
结语
让ASP.NET网站更安全是一项艰巨的任务,ASP.NET安全代码分析规则算是帮了一个大忙,至少你帮你确定一些重大的威胁,正如你从这篇文章看到的,其分析过程很简单,可以配置为每次生成时运行,让你可以及早发现问题。
我建议将规则部署到每个开发人员的机器上,也将它们作为TFS(Team Foundation Sever)或其它代码仓库检入(check in)策略的一部分,以便每个开发人员都可以在生成时执行代码分析和策略。你也可以定制自己的代码分析规则,如果你想就此做进一步学习和研究,建议去由Duke Kamstra维护的代码分析团队博客逛逛,此外,在Tatham Oddie的博客中也有很多优秀的文章。