程序員常見的WEB安全漏洞

程序員常見的WEB安全漏洞點蒼@淘寶-新業(yè)務(wù)2010-08-30可編輯課件0.大綱可編輯課件1.引子不安全的淘寶，一直被緊盯，經(jīng)常被攻擊影響力–宕機、篡改頁面交易

–盜取銀行賬號、釣魚攻擊用戶–登錄密碼以及cookie/refer/ip隱私可編輯課件2.SQL注入–簡介SQL注入攻擊也俗稱黑客的填空游戲定義：攻擊者提交惡意SQL并得到執(zhí)行本質(zhì)：由于輸入檢驗不充分，導(dǎo)致非法數(shù)據(jù)被當做SQL來執(zhí)行特點：很常見，使用數(shù)據(jù)庫的應(yīng)用多如牛毛多見于小PHP站，采用字符串拼SQL的應(yīng)用直接攻擊服務(wù)器可編輯課件2.SQL注入–危害字符串填空繞過登錄鑒權(quán)select*fromuserwherename=‘’or‘1’=‘1’andpw=‘’or‘1’=‘1’執(zhí)行任意SQL，利用注釋，select*fromitemwhreitem=‘’;yoursql--’

或整型字段，select*fromitemwhereitem_id=0;yoursql;篡改系統(tǒng)賬號alterloginsawithpassword=‘123456’用戶隱私外泄select*fromuser系統(tǒng)細節(jié)外泄select*fromsys.tables控制操作系統(tǒng)xp_cmdshell“netstopiisadmin”損害硬盤宕機xp_cmdshell“FORMATC:”埋入XSS漏洞

insertintocomment(cnt)values(‘<script>…</script>’)可編輯課件2.SQL注入–防范避免字符串拼SQL，完全使用參數(shù)化查詢將單引號字符取代為連續(xù)2個單引號字符利用框架的防SQL注入功能可編輯課件2.SQL注入–iBatis1根據(jù)彩種ID和彩期名得到一個彩期，

inttype=123;Stringtitle=“123”。結(jié)果：select*fromitemwheretype=123andtitle=‘123’$不過濾直接文本替換：select*fromitemwheretype=$type$andtitle=‘$title$’#根據(jù)變量類型來替換：select*fromitemwheretype=#type#andtitle=#title#盡量使用#，避免使用$可編輯課件2.SQL注入–iBatis2盡量使用#，避免使用$若不能避免$，則帶上元數(shù)據(jù)標識SQL中需要用戶提交的ASC、DESC等SQL關(guān)鍵字select*fromuserorderbygmt_create

$ordertype:SQLKEYWORD$SQL中需要用戶提交的字段名、表名等元數(shù)據(jù)select*fromuserorderby$orderByColumn:METADATA$可編輯課件2.SQL注入–iBatis3盡量使用#，避免使用$若不能避免$，則帶上元數(shù)據(jù)標識用迭代替換IN關(guān)鍵字中的$intorderStatus={0,1,2,3}

List

orders

=

sqlMap.queryForList(“OrderDAO.findLlOrder",

orderStatus);

<select

id=“findOrder”

parameterClass=“java.lang.Array”

resultClass=“java.lang.Object”>

select

*

from

order

where

order_status

in

<iterate

open=“(“

close=“)”

conjunction=“,”>

#orderStatus[]#

</iterate>

</select>

可編輯課件3.XSS–簡介Cross-SiteScripting，跨站腳本攻擊定義：攻擊者在頁面里插入惡意腳本，當用戶瀏覽該頁時，嵌入其中的惡意代碼被執(zhí)行，從而達到攻擊者的特殊目的實質(zhì)：用戶提交的HTML代碼未經(jīng)過濾和轉(zhuǎn)義直接回顯特點：攻擊授信和未授信用戶，不直接攻擊服務(wù)器很常見，例如貼圖、AJAX回調(diào)、富文本（如評論留言）惡意腳本可能位于跨站服務(wù)器，但必須用戶瀏覽器執(zhí)行，最暴力的防范就是禁用JS腳本可編輯課件3.XSS–實例彩票業(yè)務(wù)AJAX回調(diào)導(dǎo)致的XSS漏洞/lottery/order/getDcSpInfoAjax.htm?callback=%3Cscript%3Ealert%28%27xss%27%29%3C/script%3E可編輯課件3.XSS–危害掛蠕蟲、木馬、病毒盜取用戶的cookie/referer/ip等信息制作釣魚網(wǎng)站用戶被提交惡意數(shù)據(jù)、被執(zhí)行惡意操作幫助CSRF，繞過CSRF的token驗證可編輯課件3.XSS–代碼分析<span>$!productName</span><inputtype="hidden"Name="OrinSearchText"value="$!searchBarView.LastKeyword"id="OrinSearchText_rfs"$disabledFlag/><script>varfromgcn='$!rundata.Parameters.getString('fromgcn')';</script><span><iframesrc=></iframe></span><inputtype="hidden"Name="OrinSearchText"value=""><iframesrc=></iframe><""id="OrinSearchText_rfs"$disabledFlag/><script>varfromgcn='';hackerFunction(document.cookie);'';</script>可編輯課件3.XSS–防范輸入過濾，RichTextXssFilter.filter(input)輸出轉(zhuǎn)義，HTMLESCAPE可編輯課件4.CSRF–簡介CrossSiteRequestForgery，即跨站請求偽造，有時也縮寫為XSRF定義：在惡意站點上，促使用戶請求有CSRF漏洞的應(yīng)用的URL或欺騙性的表單，從而修改用戶數(shù)據(jù)實質(zhì)：利用session機制，盜用授信用戶對應(yīng)用做一些惡意的GET/POST提交特點：不同于XSS，惡意腳本一定位于跨站服務(wù)器攻擊授信用戶，不直接攻擊服務(wù)器近年增多，授信用戶的貼圖、表單提交、頁面交互、AJAX調(diào)用都可能導(dǎo)致該漏洞可編輯課件4.CSRF–實例黑客在服務(wù)器端編寫惡意腳本，并構(gòu)造授信操作的URL，例如評論惡意用戶回復(fù)帖子時候貼圖，圖片地址指向黑客事先編寫的惡意腳本當用戶瀏覽這些帖子時，就會請求該圖片，不知覺訪問了惡意腳本惡意腳本利用302重定向，根據(jù)帖子不同跳轉(zhuǎn)到對應(yīng)的評論URL用戶在不知情情況下發(fā)表了評論，幫惡意用戶頂貼所以，論壇一般會讓用戶在評論時輸入驗證碼，來防止類似攻擊可編輯課件4.CSRF–危害獲得管理員權(quán)限盜取用戶銀行卡、信用卡信息授信用戶被提交惡意數(shù)據(jù)、被執(zhí)行惡意操作可編輯課件4.CSRF–防范服務(wù)器區(qū)分GET/POST，增加攻擊難度REFERER校驗，補充手段改長授信為短授信時間戳關(guān)鍵流程使用驗證碼Token驗證嚴防XSS，否則短授信可能被偽造可編輯課件5.其它漏洞命令行注入文件上傳漏洞緩沖區(qū)溢出DDoS訪問控制漏洞LogicFlaw，邏輯漏洞無限制URL跳轉(zhuǎn)漏洞表單重復(fù)提交Struts/Webwork遠程命令執(zhí)行漏洞可編輯課件6.安全開發(fā)流程提高安全開發(fā)意識遵守安全編碼規(guī)范引入WEB安全測試逆向思維，從黑客角度發(fā)現(xiàn)潛在的漏洞網(wǎng)絡(luò)安全≠WEB安全≠XSS≠alert可編輯課件7.黑客攻擊思路找漏洞分析產(chǎn)品或開源代碼瀏覽器、操作系統(tǒng)的0day漏洞編寫惡意腳本蠱惑用戶訪問惡意鏈接，執(zhí)行惡意腳本完成攻擊得到用戶隱私拿管理員權(quán)限釣魚網(wǎng)站掛木馬可編輯課件9.安全開發(fā)Checklist安全分類項目自檢必選SQL注入iBatis中使用的$變量是否都有元數(shù)據(jù)標識*XSSwebx里是否配置了vm模板的自動XSS輸出轉(zhuǎn)義*vm模板以外的回顯內(nèi)容是否有顯式的輸入過濾輸出轉(zhuǎn)義*貼圖功能是否有防XSS考慮*再次確認沒有遺漏的搜索框、評論、AJAX回調(diào)等XSS高發(fā)區(qū)CSRF關(guān)鍵業(yè)務(wù)是否有驗證碼校驗授信操作是否都有token校驗*貼圖功能是否有防CSRF考慮*其它所用的數(shù)據(jù)庫、操作系統(tǒng)賬戶是否有過高的權(quán)限*所用的struts2是否修復(fù)了遠程命令執(zhí)行漏洞*上傳文件功能是否考慮了安全防范*向?qū)ь惒僮魇欠穸加袑η耙徊襟E結(jié)果的校驗*考慮并解決了表單重復(fù)提交漏洞*與第三方合作的接口是否考慮了安全防范*URL跳轉(zhuǎn)是