程序员常见的WEB安全漏洞

程序员常见的WEB安全漏洞点苍@淘宝-新业务2010-08-300.大纲1.引子不安全的淘宝，一直被紧盯，经常被攻击影响力–宕机、篡改页面交易

–盗取银行账号、钓鱼攻击用户–登录密码以及cookie/refer/ip隐私2.SQL注入–简介SQL注入攻击也俗称黑客的填空游戏定义：攻击者提交恶意SQL并得到执行本质：由于输入检验不充分，导致非法数据被当做SQL来执行特点：很常见，使用数据库的应用多如牛毛多见于小PHP站，采用字符串拼SQL的应用直接攻击服务器2.SQL注入–危害字符串填空绕过登录鉴权select*fromuserwherename=‘’or‘1’=‘1’andpw=‘’or‘1’=‘1’执行任意SQL，利用注释，select*fromitemwhreitem=‘’;yoursql--’

或整型字段，select*fromitemwhereitem_id=0;yoursql;篡改系统账号alterloginsawithpassword=‘123456’用户隐私外泄select*fromuser系统细节外泄select*fromsys.tables控制操作系统xp_cmdshell“netstopiisadmin”损害硬盘宕机xp_cmdshell“FORMATC:”埋入XSS漏洞

insertintocomment(cnt)values(‘<script>…</script>’)2.SQL注入–防范避免字符串拼SQL，完全使用参数化查询将单引号字符取代为连续2个单引号字符利用框架的防SQL注入功能2.SQL注入–iBatis1根据彩种ID和彩期名得到一个彩期，

inttype=123;Stringtitle=“123”。结果：select*fromitemwheretype=123andtitle=‘123’$不过滤直接文本替换：select*fromitemwheretype=$type$andtitle=‘$title$’#根据变量类型来替换：select*fromitemwheretype=#type#andtitle=#title#尽量使用#，避免使用$2.SQL注入–iBatis2尽量使用#，避免使用$若不能避免$，则带上元数据标识SQL中需要用户提交的ASC、DESC等SQL关键字select*fromuserorderbygmt_create

$ordertype:SQLKEYWORD$SQL中需要用户提交的字段名、表名等元数据select*fromuserorderby$orderByColumn:METADATA$2.SQL注入–iBatis3尽量使用#，避免使用$若不能避免$，则带上元数据标识用迭代替换IN关键字中的$intorderStatus={0,1,2,3}

List

orders

=

sqlMap.queryForList(“OrderDAO.findLlOrder",

orderStatus);

<select

id=“findOrder”

parameterClass=“java.lang.Array”

resultClass=“java.lang.Object”>

select

*

from

order

where

order_status

in

<iterate

open=“(“

close=“)”

conjunction=“,”>

#orderStatus[]#

</iterate>

</select>

3.XSS–简介Cross-SiteScripting，跨站脚本攻击定义：攻击者在页面里插入恶意脚本，当用户浏览该页时，嵌入其中的恶意代码被执行，从而达到攻击者的特殊目的实质：用户提交的HTML代码未经过滤和转义直接回显特点：攻击授信和未授信用户，不直接攻击服务器很常见，例如贴图、AJAX回调、富文本（如评论留言）恶意脚本可能位于跨站服务器，但必须用户浏览器执行，最暴力的防范就是禁用JS脚本3.XSS–实例彩票业务AJAX回调导致的XSS漏洞/lottery/order/getDcSpInfoAjax.htm?callback=%3Cscript%3Ealert%28%27xss%27%29%3C/script%3E3.XSS–危害挂蠕虫、木马、病毒盗取用户的cookie/referer/ip等信息制作钓鱼网站用户被提交恶意数据、被执行恶意操作帮助CSRF，绕过CSRF的token验证3.XSS–代码分析<span>$!productName</span><inputtype="hidden"Name="OrinSearchText"value="$!searchBarView.LastKeyword"id="OrinSearchText_rfs"$disabledFlag/><script>varfromgcn='$!rundata.Parameters.getString('fromgcn')';</script><span><iframesrc=></iframe></span><inputtype="hidden"Name="OrinSearchText"value=""><iframesrc=></iframe><""id="OrinSearchText_rfs"$disabledFlag/><script>varfromgcn='';hackerFunction(document.cookie);'';</script>3.XSS–防范输入过滤，RichTextXssFilter.filter(input)输出转义，HTMLESCAPE4.CSRF–简介CrossSiteRequestForgery，即跨站请求伪造，有时也缩写为XSRF定义：在恶意站点上，促使用户请求有CSRF漏洞的应用的URL或欺骗性的表单，从而修改用户数据实质：利用session机制，盗用授信用户对应用做一些恶意的GET/POST提交特点：不同于XSS，恶意脚本一定位于跨站服务器攻击授信用户，不直接攻击服务器近年增多，授信用户的贴图、表单提交、页面交互、AJAX调用都可能导致该漏洞4.CSRF–实例黑客在服务器端编写恶意脚本，并构造授信操作的URL，例如评论恶意用户回复帖子时候贴图，图片地址指向黑客事先编写的恶意脚本当用户浏览这些帖子时，就会请求该图片，不知觉访问了恶意脚本恶意脚本利用302重定向，根据帖子不同跳转到对应的评论URL用户在不知情情况下发表了评论，帮恶意用户顶贴所以，论坛一般会让用户在评论时输入验证码，来防止类似攻击4.CSRF–危害获得管理员权限盗取用户银行卡、信用卡信息授信用户被提交恶意数据、被执行恶意操作4.CSRF–防范服务器区分GET/POST，增加攻击难度REFERER校验，补充手段改长授信为短授信时间戳关键流程使用验证码Token验证严防XSS，否则短授信可能被伪造5.其它漏洞命令行注入文件上传漏洞缓冲区溢出DDoS访问控制漏洞LogicFlaw，逻辑漏洞无限制URL跳转漏洞表单重复提交Struts/Webwork远程命令执行漏洞6.安全开发流程提高安全开发意识遵守安全编码规范引入WEB安全测试逆向思维，从黑客角度发现潜在的漏洞网络安全≠WEB安全≠XSS≠alert7.黑客攻击思路找漏洞分析产品或开源代码浏览器、操作系统的0day漏洞编写恶意脚本蛊惑用户访问恶意链接，执行恶意脚本完成攻击得到用户隐私拿管理员权限钓鱼网站挂木马9.安全开发Checklist安全分类项目自检必选SQL注入iBatis中使用的$变量是否都有元数据标识*XSSwebx里是否配置了vm模板的自动XSS输出转义*vm模板以外的回显内容是否有显式的输入过滤输出转义*贴图功能是否有防XSS考虑*再次确认没有遗漏的搜索框、评论、AJAX回调等XSS高发区CSRF关键业务是否有验证码校验授信操作是否都有token校验*贴图功能是否有防CSRF考虑*其它所用的数据库、操作系统账户是否有过高的权限*所用的struts2是否修复了远程命令执行漏洞*上传文件功能是否考虑了安全防范*向导类操作是否都有对前一步骤结果的校验*考虑并解决了表单重复提交漏洞*与第三方合作的接口是否考虑了安全防