WEB開發(fā)安全與防御策略課件

WEB開發(fā)安全與防御策略By陳于喆目錄1.核心防御機制2.攻擊驗證機制3.攻擊會話管理4.攻擊訪問控制5.代碼注入6.利用路徑遍歷目錄7.跨站腳本8.重定向攻擊9.json劫持10.緩存區(qū)溢出和整數(shù)漏洞11.攻擊web服務(wù)器12.查找源代碼中的漏洞核心防御機制概述SSL安全協(xié)議 我們在一些站點有時候會看到“本站點使用SSL技術(shù)，您可以放心使用本站點，我們提供絕對的安全的數(shù)據(jù)保障

”

SSL可以為用戶額web服務(wù)器傳輸?shù)臄?shù)據(jù)提供機密性與完整性的保護功能，防止信息泄露，但SSL并不能防御直接針對應(yīng)用程序的服務(wù)器或客戶組建的攻擊核心防御機制概述許多的攻擊成功是對于漏洞的攻擊，據(jù)統(tǒng)計我們的應(yīng)用程序主要存在漏洞被攻擊的主要表現(xiàn)類別 1.不完善的身份驗證 2.不完善的訪問控制 3.各種注入和路徑遍歷 4.跨站腳本 5.信息的泄露 6…WEB應(yīng)用程序的幾個核心防御機制

處理用戶訪問應(yīng)用程序的數(shù)據(jù)和功能 1.身份驗證 2.會話管理 3.訪問控制WEB應(yīng)用程序的幾個核心防御機制處理用戶對應(yīng)用程序功能的輸入 1.拒絕已知的不良輸入

（也就是我們所說的黑名單，效率低，無法抵御未知的攻擊）

2.接受已知的正常輸入

(白名單,最有效的方法,但無法滿足各式各樣輸入的需求)

3.凈化數(shù)據(jù)

(可能存在的惡意字符將其進行適當(dāng)?shù)木幋a或轉(zhuǎn)義，只留下已知的安全字符)

4.安全數(shù)據(jù)處理

(在程序進行數(shù)據(jù)處理時,采用相關(guān)的安全機制,如如在處理數(shù)據(jù)庫訪問過程中使用參數(shù)化配置查詢，就可以避免SQL注入的攻擊)WEB應(yīng)用程序的幾個核心防御機制邊界確認(rèn) 邊界確認(rèn)是一種更有效的模型，此時服務(wù)器端應(yīng)用程序的每一個單獨的組件或功能單元將其輸入當(dāng)作潛在的惡意來源輸入對待

WEB應(yīng)用程序的幾個核心防御機制多步確認(rèn)和規(guī)范化

在確認(rèn)的檢查過程中，需要幾個步驟處理用戶提交的輸入,如為了防御跨站腳本的攻擊，應(yīng)用程序過濾用戶提交的數(shù)據(jù)中的<Script> 但攻擊者可以通過<scr<script>ipt>,由于過濾無使用遞歸運行，過濾的表達式周邊的數(shù)據(jù)又合并在一起，重新建立起惡意的表達式。攻擊驗證機制驗證技術(shù)1.基于HTML表單的驗證(90%以上都采用這種機制)2.多元機制，如組合型密碼和物理令牌（多見于銀行等）3.客戶SSL證書或智能卡（成本高昂，用戶不多的關(guān)鍵安全應(yīng)用程序才會使用）4.使用NTLM整合Windows的驗證驗證機制設(shè)計的缺陷

1.系統(tǒng)對密碼保密性要求不強

2.允許蠻力攻擊登錄

3.詳細的失敗登錄消息

4.證書傳輸容易受到攻擊 (如果使用非加密的http鏈接傳輸證書,處于網(wǎng)絡(luò)適當(dāng)?shù)奈恢玫母`聽者可以攔截到這些證書.竊聽者可以處在,用戶本地網(wǎng)絡(luò)上,用戶的it部門上，用戶的ISP上，托管應(yīng)用程序的ISP內(nèi)等等）

5.記住我的功能 (過于簡單的cookie執(zhí)行，如rememberuser=chenyz，即使cookie中保存用于,重新識別用戶的信息得到適當(dāng)?shù)谋Ｗo（加密）以防止用戶進行判斷和猜測,但攻擊者通過跨站腳本之類的漏洞依然可以進行獲得信息。)保障驗證機制的安全

1.使用可靠的證書 2.安全處理證書（1）必須保證使用HTTPS加載表單（2）只能使用POST請求向服務(wù)器傳輸證書，不能將證書放在URL參數(shù)或cookie中，不能將證書返還給用戶（3）保存證書，最常使用強大的散列函數(shù)，即使攻擊者能夠訪問到應(yīng)用程序數(shù)據(jù)庫中的數(shù)據(jù)，他們也無法輕易的恢復(fù)證書（4）即使使用記住我的功能，在這情況下，客戶不適宜保存明文證書，必須使用密鑰加可逆的形式保存密碼，且只有服務(wù)器知道密鑰）（5）用戶有責(zé)任定期修改密碼

保障驗證機制的安全 3.正確驗證證書 4.防止信息泄漏 5.防止蠻力攻擊 6.防止濫用密碼修改功能 7.日志，監(jiān)控和通知問題http//**.163.com/tech.action=login&name=chenyz&password=163a163 有何漏洞攻擊會話管理從本質(zhì)上講，HTTP協(xié)議沒有狀態(tài)。它基于一種簡單的請求-響應(yīng)模型，其中每對消息代表一個獨立的事務(wù)。協(xié)議本身并無將某位用戶提出的各種請求聯(lián)系起來的機制，并將它們與Web服務(wù)器收到的所有其他請求區(qū)分開來,執(zhí)行會話的最簡單、也是最常見的方法就是向每名用戶發(fā)布一個唯一的會話令牌或標(biāo)識符。和驗證機制一樣，通常會話管理功能中也存在著大量缺陷,攻擊者只需遞增應(yīng)用程序向他們發(fā)布的令牌值，就可以轉(zhuǎn)換到另一名用戶的賬戶。攻擊會話管理會話管理機制中存在的漏洞主要分為兩類：1.會話令牌生成過程中的薄弱環(huán)節(jié)；2.在整個生命周期過程中處理會話令牌的薄弱環(huán)節(jié)。會話令牌生成過程中的薄弱環(huán)節(jié)1.令牌有一定含義（一些會話令牌通過用戶的用戶名或電子郵件地址轉(zhuǎn)換而來，或者使用與其相關(guān)的其他信息創(chuàng)建。這些信息可以某種方式進行編碼或模糊處理，也可與其他數(shù)據(jù)結(jié)合在一起。）dXNlcm5hbWU6Y2hlbnl6O2FwcD1hZG1pbjtkYXRlOjIwMTAtMDEtMTI=進行Base64解碼username:chenyz;app=admin;date:2010-01-12攻擊者可以利用這個會話令牌的含義猜測其他應(yīng)用程序用戶的當(dāng)前會話。使用一組枚舉出的用戶名或常見用戶名，就能夠迅速生成大量可能有效的令牌，并進行測試以確定它們是否有效。在生命周期過程中處理會話令牌的薄弱環(huán)節(jié)2.令牌在網(wǎng)絡(luò)的泄漏一些應(yīng)用程序在登錄階段選擇使用HTTPS保護用戶證書的安全，但在用戶會話的其他階段轉(zhuǎn)而使用HTTP。許多Web郵件應(yīng)用程序以這種方式運作。竊聽者無法攔截用戶的證書，但仍然可以截獲會話令牌/interactive/admin/manage!main;jsessionid=bac6g-DLIaUOzaDU5LBws以這種方式傳送會話令牌，它們的會話令牌就可能出現(xiàn)在各種未授權(quán)用戶能夠訪問的系統(tǒng)日志中在生命周期過程中處理會話令牌的薄弱環(huán)節(jié)3.會話的可預(yù)測性4.會話終止易受攻擊(1)盡可能縮短一個會話的壽命可降低攻擊者截獲、猜測或濫用有效會話令牌的可能性(1)如果用戶不再需要現(xiàn)有會話，終止會話為用戶提供一種使其失效的途徑,例如服務(wù)器端發(fā)布一個set-cookie清空指令5.寬泛的cookie范圍(1)cookie域限制(2)cookie路徑限制問題登錄應(yīng)用程序后，服務(wù)器建立一下cookieSet-cookie:sessid=amltMjM6MTI0MToxMTk0OcwODYz;一個小時后再次登錄得到以后cookie：Set-cookie:sessid=amltMjM6MTI0MToxMTk0ODc1MTMy;我們可以嘗試得到什么推論注入解釋型語言基于解釋型語言的執(zhí)行方法，產(chǎn)生了一系列的代碼注入漏洞，任何實際用途的應(yīng)用程序都會受到用戶提交的數(shù)據(jù)helloworld.sh#!/bin/shecho$1輸入執(zhí)行./helloworld.sh"helloworld"helloworld但在解釋shell腳本環(huán)境支持使用反引號（`）插入另一條命令./helloworld.sh"`ls-la`"SQL注入SQL注入攻擊的種類1.沒有正確過濾轉(zhuǎn)義字符

SELECT*FROMusersWHEREname='"+userName+"'; SELECT*FROMusersWHEREname='a'OR't'='t';

2.錯誤的類型處理 SELECT*FROMdataWHEREid="+a_variable+"; SELECT*FROMDATAWHEREid=1;DROPTABLEusers;

3.數(shù)據(jù)庫服務(wù)器中的漏洞

MYSQL服務(wù)器中mysql_real_escape_string()函數(shù)漏洞，允許一個攻擊者根據(jù)錯誤的統(tǒng)一字符編碼執(zhí)行成功的SQL注入式攻擊SQL注入攻擊的種類4.盲目SQL注入式攻擊

Absinthe的工具就可以使這種攻擊自動化5.條件響應(yīng)6.條件性差錯7.時間延誤防御和檢查SQL注入的手段1.使用參數(shù)化的過濾性語句2.還要避免使用解釋程序3.防范SQL注入，還要避免出現(xiàn)一些詳細的錯誤消息4.使用專業(yè)的漏洞掃描工具5.最后一點，企業(yè)要在Web應(yīng)用程序開發(fā)過程的所有階段實施代碼的安全檢查滲透攻擊測試步驟1.如果原始值為2，我們使用（1+1）或（3-1），程序作出相同回應(yīng)，表明易受攻擊2.如果單引號被過濾掉，我們可以用ASCII命令，使它返回字符的數(shù)字化代碼，如51-ASCII(1)3.在URL編碼中，&和=用于鏈接名稱/值對，建立查詢字符串應(yīng)當(dāng)分別使用%26和%3d進行編碼4.如查詢字符串不允許使用空格，使用+或%20編碼5.分號被用于分割cookie自讀，使用%3d編碼利用路徑遍歷如果應(yīng)用程序使用用戶可控制的數(shù)據(jù)，以危險的方式訪問位于應(yīng)用服務(wù)器或其它后端文件系統(tǒng)的文件或目錄，就會出現(xiàn)路徑遍歷Stringrurl=request.getParameter(“rurl”); BufferedWriterutput2=newBufferedWriter(newFileWriter(newFile(“/home/chenyz/”+rurl)));攻擊者可以將路徑遍歷序列放入文件名內(nèi)，向上回溯，從而訪問服務(wù)器上的任何文件，路徑遍歷序列叫“點-點-斜線”（..\）http://***/go.action?file=..\..\etc\passwd避開過濾第一種是過濾文件名參數(shù)中是否存在任何路徑遍歷序列(..\)如果程序嘗試刪除(..\)來凈化用戶輸入，可以用....//....\/..../\....\\進行URL編碼點-->%2e反斜杠-->%2f正斜杠-->%5c進行16為Unicode編碼點-->%u002e反斜杠-->%u2215正斜杠-->%u2216進行雙倍URL編碼點-->%252e反斜杠-->%u252f正斜杠