程序員常見的WEB安全漏洞

程序員常見的WEB安全漏洞點蒼@淘寶-新業(yè)務2010-08-30可編輯課件0.大綱可編輯課件1.引子不安全的淘寶，一直被緊盯，經常被攻擊影響力–宕機、篡改頁面交易

–盜取銀行賬號、釣魚攻擊用戶–登錄密碼以及cookie/refer/ip隱私可編輯課件2.SQL注入–簡介SQL注入攻擊也俗稱黑客的填空游戲定義：攻擊者提交惡意SQL并得到執(zhí)行本質：由于輸入檢驗不充分，導致非法數據被當做SQL來執(zhí)行特點：很常見，使用數據庫的應用多如牛毛多見于小PHP站，采用字符串拼SQL的應用直接攻擊服務器可編輯課件2.SQL注入–危害字符串填空繞過登錄鑒權select*fromuserwherename=‘’or‘1’=‘1’andpw=‘’or‘1’=‘1’執(zhí)行任意SQL，利用注釋，select*fromitemwhreitem=‘’;yoursql--’

或整型字段，select*fromitemwhereitem_id=0;yoursql;篡改系統(tǒng)賬號alterloginsawithpassword=‘123456’用戶隱私外泄select*fromuser系統(tǒng)細節(jié)外泄select*fromsys.tables控制操作系統(tǒng)xp_cmdshell“netstopiisadmin”損害硬盤宕機xp_cmdshell“FORMATC:”埋入XSS漏洞

insertintocomment(cnt)values(‘<script>…</script>’)可編輯課件2.SQL注入–防范避免字符串拼SQL，完全使用參數化查詢將單引號字符取代為連續(xù)2個單引號字符利用框架的防SQL注入功能可編輯課件2.SQL注入–iBatis1根據彩種ID和彩期名得到一個彩期，

inttype=123;Stringtitle=“123”。結果：select*fromitemwheretype=123andtitle=‘123’$不過濾直接文本替換：select*fromitemwheretype=$type$andtitle=‘$title$’#根據變量類型來替換：select*fromitemwheretype=#type#andtitle=#title#盡量使用#，避免使用$可編輯課件2.SQL注入–iBatis2盡量使用#，避免使用$若不能避免$，則帶上元數據標識SQL中需要用戶提交的ASC、DESC等SQL關鍵字select*fromuserorderbygmt_create

$ordertype:SQLKEYWORD$SQL中需要用戶提交的字段名、表名等元數據select*fromuserorderby$orderByColumn:METADATA$可編輯課件2.SQL注入–iBatis3盡量使用#，避免使用$若不能避免$，則帶上元數據標識用迭代替換IN關鍵字中的$intorderStatus={0,1,2,3}

List

orders

=

sqlMap.queryForList(“OrderDAO.findLlOrder",

orderStatus);

<select

id=“findOrder”

parameterClass=“java.lang.Array”

resultClass=“java.lang.Object”>

select

*

from

order

where

order_status

in

<iterate

open=“(“

close=“)”

conjunction=“,”>

#orderStatus[]#

</iterate>

</select>

可編輯課件3.XSS–簡介Cross-SiteScripting，跨站腳本攻擊定義：攻擊者在頁面里插入惡意腳本，當用戶瀏覽該頁時，嵌入其中的惡意代碼被執(zhí)行，從而達到攻擊者的特殊目的實質：用戶提交的HTML代碼未經過濾和轉義直接回顯特點：攻擊授信和未授信用戶，不直接攻擊服務器很常見，例如貼圖、AJAX回調、富文本（如評論留言）惡意腳本可能位于跨站服務器，但必須用戶瀏覽器執(zhí)行，最暴力的防范就是禁用JS腳本可編輯課件3.XSS–實例彩票業(yè)務AJAX回調導致的XSS漏洞/lottery/order/getDcSpInfoAjax.htm?callback=%3Cscript%3Ealert%28%27xss%27%29%3C/script%3E可編輯課件3.XSS–危害掛蠕蟲、木馬、病毒盜取用戶的cookie/referer/ip等信息制作釣魚網站用戶被提交惡意數據、被執(zhí)行惡意操作幫助CSRF，繞過CSRF的token驗證可編輯課件3.XSS–代碼分析<span>$!productName</span><inputtype="hidden"Name="OrinSearchText"value="$!searchBarView.LastKeyword"id="OrinSearchText_rfs"$disabledFlag/><script>varfromgcn='$!rundata.Parameters.getString('fromgcn')';</script><span><iframesrc=></iframe></span><inputtype="hidden"Name="OrinSearchText"value=""><iframesrc=></iframe><""id="OrinSearchText_rfs"$disabledFlag/><script>varfromgcn='';hackerFunction(document.cookie);'';</script>可編輯課件3.XSS–防范輸入過濾，RichTextXssFilter.filter(input)輸出轉義，HTMLESCAPE可編輯課件4.CSRF–簡介CrossSiteRequestForgery，即跨站請求偽造，有時也縮寫為XSRF定義：在惡意站點上，促使用戶請求有CSRF漏洞的應用的URL或欺騙性的表單，從而修改用戶數據實質：利用session機制，盜用授信用戶對應用做一些惡意的GET/POST提交特點：不同于XSS，惡意腳本一定位于跨站服務器攻擊授信用戶，不直接攻擊服務器近年增多，授信用戶的貼圖、表單提交、頁面交互、AJAX調用都可能導致該漏洞可編輯課件4.CSRF–實例黑客在服務器端編寫惡意腳本，并構造授信操作的URL，例如評論惡意用戶回復帖子時候貼圖，圖片地址指向黑客事先編寫的惡意腳本當用戶瀏覽這些帖子時，就會請求該圖片，不知覺訪問了惡意腳本惡意腳本利用302重定向，根據帖子不同跳轉到對應的評論URL用戶在不知情情況下發(fā)表了評論，幫惡意用戶頂貼所以，論壇一般會讓用戶在評論時輸入驗證碼，來防止類似攻擊可編輯課件4.CSRF–危害獲得管理員權限盜取用戶銀行卡、信用卡信息授信用戶被提交惡意數據、被執(zhí)行惡意操作可編輯課件4.CSRF–防范服務器區(qū)分GET/POST，增加攻擊難度REFERER校驗，補充手段改長授信為短授信時間戳關鍵流程使用驗證碼Token驗證嚴防XSS，否則短授信可能被偽造可編輯課件5.其它漏洞命令行注入文件上傳漏洞緩沖區(qū)溢出DDoS訪問控制漏洞LogicFlaw，邏輯漏洞無限制URL跳轉漏洞表單重復提交Struts/Webwork遠程命令執(zhí)行漏洞可編輯課件6.安全開發(fā)流程提高安全開發(fā)意識遵守安全編碼規(guī)范引入WEB安全測試逆向思維，從黑客角度發(fā)現潛在的漏洞網絡安全≠WEB安全≠XSS≠alert可編輯課件7.黑客攻擊思路找漏洞分析產品或開源代碼瀏覽器、操作系統(tǒng)的0day漏洞編寫惡意腳本蠱惑用戶訪問惡意鏈接，執(zhí)行惡意腳本完成攻擊得到用戶隱私拿管理員權限釣魚網站掛木馬可編輯課件9.安全開發(fā)Checklist安全分類項目自檢必選SQL注入iBatis中使用的$變量是否都有元數據標識*XSSwebx里是否配置了vm模板的自動XSS輸出轉義*vm模板以外的回顯內容是否有顯式的輸入過濾輸出轉義*貼圖功能是否有防XSS考慮*再次確認沒有遺漏的搜索框、評論、AJAX回調等XSS高發(fā)區(qū)CSRF關鍵業(yè)務是否有驗證碼校驗授信操作是否都有token校驗*貼圖功能是否有防CSRF考慮*其它所用的數據庫、操作系統(tǒng)賬戶是否有過高的權限*所用的struts2是否修復了遠程命令執(zhí)行漏洞*上傳文件功能是否考慮了安全防范*向導類操作是否都有對前一步驟結果的校驗*考慮并解決了表單重復提交漏洞*與第三方合作的接口是否考慮了安全防范*URL跳轉是