程序員常見(jiàn)的WEB安全漏洞

程序員常見(jiàn)的WEB安全漏洞點(diǎn)蒼@淘寶-新業(yè)務(wù)2010-08-30可編輯課件0.大綱可編輯課件1.引子不安全的淘寶，一直被緊盯，經(jīng)常被攻擊影響力–宕機(jī)、篡改頁(yè)面交易

–盜取銀行賬號(hào)、釣魚(yú)攻擊用戶–登錄密碼以及cookie/refer/ip隱私可編輯課件2.SQL注入–簡(jiǎn)介SQL注入攻擊也俗稱黑客的填空游戲定義：攻擊者提交惡意SQL并得到執(zhí)行本質(zhì)：由于輸入檢驗(yàn)不充分，導(dǎo)致非法數(shù)據(jù)被當(dāng)做SQL來(lái)執(zhí)行特點(diǎn)：很常見(jiàn)，使用數(shù)據(jù)庫(kù)的應(yīng)用多如牛毛多見(jiàn)于小PHP站，采用字符串拼SQL的應(yīng)用直接攻擊服務(wù)器可編輯課件2.SQL注入–危害字符串填空繞過(guò)登錄鑒權(quán)select*fromuserwherename=‘’or‘1’=‘1’andpw=‘’or‘1’=‘1’執(zhí)行任意SQL，利用注釋，select*fromitemwhreitem=‘’;yoursql--’

或整型字段，select*fromitemwhereitem_id=0;yoursql;篡改系統(tǒng)賬號(hào)alterloginsawithpassword=‘123456’用戶隱私外泄select*fromuser系統(tǒng)細(xì)節(jié)外泄select*fromsys.tables控制操作系統(tǒng)xp_cmdshell“netstopiisadmin”損害硬盤(pán)宕機(jī)xp_cmdshell“FORMATC:”埋入XSS漏洞

insertintocomment(cnt)values(‘<script>…</script>’)可編輯課件2.SQL注入–防范避免字符串拼SQL，完全使用參數(shù)化查詢將單引號(hào)字符取代為連續(xù)2個(gè)單引號(hào)字符利用框架的防SQL注入功能可編輯課件2.SQL注入–iBatis1根據(jù)彩種ID和彩期名得到一個(gè)彩期，

inttype=123;Stringtitle=“123”。結(jié)果：select*fromitemwheretype=123andtitle=‘123’$不過(guò)濾直接文本替換：select*fromitemwheretype=$type$andtitle=‘$title$’#根據(jù)變量類型來(lái)替換：select*fromitemwheretype=#type#andtitle=#title#盡量使用#，避免使用$可編輯課件2.SQL注入–iBatis2盡量使用#，避免使用$若不能避免$，則帶上元數(shù)據(jù)標(biāo)識(shí)SQL中需要用戶提交的ASC、DESC等SQL關(guān)鍵字select*fromuserorderbygmt_create

$ordertype:SQLKEYWORD$SQL中需要用戶提交的字段名、表名等元數(shù)據(jù)select*fromuserorderby$orderByColumn:METADATA$可編輯課件2.SQL注入–iBatis3盡量使用#，避免使用$若不能避免$，則帶上元數(shù)據(jù)標(biāo)識(shí)用迭代替換IN關(guān)鍵字中的$intorderStatus={0,1,2,3}

List

orders

=

sqlMap.queryForList(“OrderDAO.findLlOrder",

orderStatus);

<select

id=“findOrder”

parameterClass=“java.lang.Array”

resultClass=“java.lang.Object”>

select

*

from

order

where

order_status

in

<iterate

open=“(“

close=“)”

conjunction=“,”>

#orderStatus[]#

</iterate>

</select>

可編輯課件3.XSS–簡(jiǎn)介Cross-SiteScripting，跨站腳本攻擊定義：攻擊者在頁(yè)面里插入惡意腳本，當(dāng)用戶瀏覽該頁(yè)時(shí)，嵌入其中的惡意代碼被執(zhí)行，從而達(dá)到攻擊者的特殊目的實(shí)質(zhì)：用戶提交的HTML代碼未經(jīng)過(guò)濾和轉(zhuǎn)義直接回顯特點(diǎn)：攻擊授信和未授信用戶，不直接攻擊服務(wù)器很常見(jiàn)，例如貼圖、AJAX回調(diào)、富文本（如評(píng)論留言）惡意腳本可能位于跨站服務(wù)器，但必須用戶瀏覽器執(zhí)行，最暴力的防范就是禁用JS腳本可編輯課件3.XSS–實(shí)例彩票業(yè)務(wù)AJAX回調(diào)導(dǎo)致的XSS漏洞/lottery/order/getDcSpInfoAjax.htm?callback=%3Cscript%3Ealert%28%27xss%27%29%3C/script%3E可編輯課件3.XSS–危害掛蠕蟲(chóng)、木馬、病毒盜取用戶的cookie/referer/ip等信息制作釣魚(yú)網(wǎng)站用戶被提交惡意數(shù)據(jù)、被執(zhí)行惡意操作幫助CSRF，繞過(guò)CSRF的token驗(yàn)證可編輯課件3.XSS–代碼分析<span>$!productName</span><inputtype="hidden"Name="OrinSearchText"value="$!searchBarView.LastKeyword"id="OrinSearchText_rfs"$disabledFlag/><script>varfromgcn='$!rundata.Parameters.getString('fromgcn')';</script><span><iframesrc=></iframe></span><inputtype="hidden"Name="OrinSearchText"value=""><iframesrc=></iframe><""id="OrinSearchText_rfs"$disabledFlag/><script>varfromgcn='';hackerFunction(document.cookie);'';</script>可編輯課件3.XSS–防范輸入過(guò)濾，RichTextXssFilter.filter(input)輸出轉(zhuǎn)義，HTMLESCAPE可編輯課件4.CSRF–簡(jiǎn)介CrossSiteRequestForgery，即跨站請(qǐng)求偽造，有時(shí)也縮寫(xiě)為XSRF定義：在惡意站點(diǎn)上，促使用戶請(qǐng)求有CSRF漏洞的應(yīng)用的URL或欺騙性的表單，從而修改用戶數(shù)據(jù)實(shí)質(zhì)：利用session機(jī)制，盜用授信用戶對(duì)應(yīng)用做一些惡意的GET/POST提交特點(diǎn)：不同于XSS，惡意腳本一定位于跨站服務(wù)器攻擊授信用戶，不直接攻擊服務(wù)器近年增多，授信用戶的貼圖、表單提交、頁(yè)面交互、AJAX調(diào)用都可能導(dǎo)致該漏洞可編輯課件4.CSRF–實(shí)例黑客在服務(wù)器端編寫(xiě)惡意腳本，并構(gòu)造授信操作的URL，例如評(píng)論惡意用戶回復(fù)帖子時(shí)候貼圖，圖片地址指向黑客事先編寫(xiě)的惡意腳本當(dāng)用戶瀏覽這些帖子時(shí)，就會(huì)請(qǐng)求該圖片，不知覺(jué)訪問(wèn)了惡意腳本惡意腳本利用302重定向，根據(jù)帖子不同跳轉(zhuǎn)到對(duì)應(yīng)的評(píng)論URL用戶在不知情情況下發(fā)表了評(píng)論，幫惡意用戶頂貼所以，論壇一般會(huì)讓用戶在評(píng)論時(shí)輸入驗(yàn)證碼，來(lái)防止類似攻擊可編輯課件4.CSRF–危害獲得管理員權(quán)限盜取用戶銀行卡、信用卡信息授信用戶被提交惡意數(shù)據(jù)、被執(zhí)行惡意操作可編輯課件4.CSRF–防范服務(wù)器區(qū)分GET/POST，增加攻擊難度REFERER校驗(yàn)，補(bǔ)充手段改長(zhǎng)授信為短授信時(shí)間戳關(guān)鍵流程使用驗(yàn)證碼Token驗(yàn)證嚴(yán)防XSS，否則短授信可能被偽造可編輯課件5.其它漏洞命令行注入文件上傳漏洞緩沖區(qū)溢出DDoS訪問(wèn)控制漏洞LogicFlaw，邏輯漏洞無(wú)限制URL跳轉(zhuǎn)漏洞表單重復(fù)提交Struts/Webwork遠(yuǎn)程命令執(zhí)行漏洞可編輯課件6.安全開(kāi)發(fā)流程提高安全開(kāi)發(fā)意識(shí)遵守安全編碼規(guī)范引入WEB安全測(cè)試逆向思維，從黑客角度發(fā)現(xiàn)潛在的漏洞網(wǎng)絡(luò)安全≠WEB安全≠XSS≠alert可編輯課件7.黑客攻擊思路找漏洞分析產(chǎn)品或開(kāi)源代碼瀏覽器、操作系統(tǒng)的0day漏洞編寫(xiě)惡意腳本蠱惑用戶訪問(wèn)惡意鏈接，執(zhí)行惡意腳本完成攻擊得到用戶隱私拿管理員權(quán)限釣魚(yú)網(wǎng)站掛木馬可編輯課件9.安全開(kāi)發(fā)Checklist安全分類項(xiàng)目自檢必選SQL注入iBatis中使用的$變量是否都有元數(shù)據(jù)標(biāo)識(shí)*XSSwebx里是否配置了vm模板的自動(dòng)XSS輸出轉(zhuǎn)義*vm模板以外的回顯內(nèi)容是否有顯式的輸入過(guò)濾輸出轉(zhuǎn)義*貼圖功能是否有防XSS考慮*再次確認(rèn)沒(méi)有遺漏的搜索框、評(píng)論、AJAX回調(diào)等XSS高發(fā)區(qū)CSRF關(guān)鍵業(yè)務(wù)是否有驗(yàn)證碼校驗(yàn)授信操作是否都有token校驗(yàn)*貼圖功能是否有防CSRF考慮*其它所用的數(shù)據(jù)庫(kù)、操作系統(tǒng)賬戶是否有過(guò)高的權(quán)限*所用的struts2是否修復(fù)了遠(yuǎn)程命令執(zhí)行漏洞*上傳文件功能是否考慮了安全防范*向?qū)ь惒僮魇欠穸加袑?duì)前一步驟結(jié)果的校驗(yàn)*考慮并解決了表單重復(fù)提交漏洞*與第三方合作的接口是否考慮了安全防范*URL跳轉(zhuǎn)是