Web應用是互聯網最普遍的應用之一，因此也使你的網絡極易遭遇入侵導致敏感資料被竊、數據被篡改、或者甚至威脅到系統的安危。確保Web應用安全是一個很迫切的任務，并且需要貫穿設計、開發、配置和實施階段的考慮。不能只把它看作附加在現有應用上的一些事物，或者認為應用現有平臺的安全特征就很容易實現的。

即使依托相關安全平臺發展，Web應用也必須追隨最好的貫穿設計、開發、配置整個階段的安全平臺來最大程度的避免遭遇攻擊。為了開發出安全的Web應用，這個詳細而精確的平臺設計需要結合安全設計實踐、威脅模擬分析和安全滲透檢驗知識。

這篇文章論述了怎樣采用ASP.NET 2.0 and IIS 6.0的安全機制去建立安全的Web應用的實踐。

Web安全應用設計

安全設計原則通常可歸結為幾個關鍵原則：假設所有的系統輸入都是惡意的，減少系統外露信息，采用默認值，使用深度防衛而不依靠系統其他部分來保護。按照這些普遍原則來進行設計是確保你的應用盡好的被保護的關鍵。

威脅模擬分析是用來制訂系統數據溢出和檢查可能的惡意入侵點。威脅模擬分析是從設計者的角色換為入侵者的角色去檢查你的設計的關鍵必要的練習，可以幫助發現潛在的安全漏洞。要了解更多的關于威脅模擬的知識，請到威脅模擬分析。

安全滲透檢驗又一種攻擊你的應用——在別人入侵之前去破壞你的應用以求發現問題的方法。你可以嘗試發送無效或最壞數據使你的應用達到極限。你也可以利用你了解的它的內部只是來破壞你的應用程序——這樣，你所來了解的內部知識賦予你相對于一般的入侵者無可比擬的優勢，或許可以挖掘出深藏在你的代碼內部的脆弱點。有各種各樣的工具可以幫助你來做安全滲透檢驗。