程序员常见的WEB安全漏洞

程序员常见的WEB平安漏洞点苍@淘宝-新业务2021-08-30整理课件0.大纲整理课件1.引子不平安的淘宝，一直被紧盯，经常被攻击影响力–宕机、篡改页面交易–盗取银行账号、钓鱼攻击用户–登录密码以及cookie/refer/ip隐私整理课件2.SQL注入–简介SQL注入攻击也俗称黑客的填空游戏定义：攻击者提交恶意SQL并得到执行本质：由于输入检验不充分，导致非法数据被当做SQL来执行特点：很常见，使用数据库的应用多如牛毛多见于小PHP站，采用字符串拼SQL的应用直接攻击效劳器整理课件2.SQL注入–危害字符串填空绕过登录鉴权select*fromuserwherename=‘’or‘1’=‘1’andpw=‘’or‘1’=‘1’执行任意SQL，利用注释，select*fromitemwhreitem=‘’;yoursql--’

或整型字段，select*fromitemwhereitem_id=0;yoursql;篡改系统账号alterloginsawithpassword=‘123456’用户隐私外泄select*fromuser系统细节外泄select*fromsys.tables控制操作系统xp_cmdshell“netstopiisadmin〞损害硬盘宕机xp_cmdshell“FORMATC:〞埋入XSS漏洞insertintocomment(cnt)values(‘<script>…</script>’)整理课件2.SQL注入–防范防止字符串拼SQL，完全使用参数化查询将单引号字符取代为连续2个单引号字符利用框架的防SQL注入功能整理课件2.SQL注入–iBatis1根据彩种ID和彩期名得到一个彩期，inttype=123;Stringtitle=“123〞。结果：select*fromitemwheretype=123andtitle=‘123’$不过滤直接文本替换：select*fromitemwheretype=$type$andtitle=‘$title$’#根据变量类型来替换：select*fromitemwheretype=#type#andtitle=#title#尽量使用#，防止使用$整理课件2.SQL注入–iBatis2尽量使用#，防止使用$假设不能防止$，那么带上元数据标识SQL中需要用户提交的ASC、DESC等SQL关键字select*fromuserorderbygmt_create

$ordertype:SQLKEYWORD$SQL中需要用户提交的字段名、表名等元数据select*fromuserorderby$orderByColumn:METADATA$整理课件2.SQL注入–iBatis3尽量使用#，防止使用$假设不能防止$，那么带上元数据标识用迭代替换IN关键字中的$intorderStatus={0,1,2,3}

List

orders

=

sqlMap.queryForList(“OrderDAO.findLlOrder",

orderStatus);

<select

id=“findOrder〞

parameterClass=“java.lang.Array〞

resultClass=“java.lang.Object〞>

select

*

from

order

where

order_status

in

<iterate

open=“(“

close=“)〞

conjunction=“,〞>

#orderStatus[]#

</iterate>

</select>

整理课件3.XSS–简介Cross-SiteScripting，跨站脚本攻击定义：攻击者在页面里插入恶意脚本，当用户浏览该页时，嵌入其中的恶意代码被执行，从而到达攻击者的特殊目的实质：用户提交的HTML代码未经过滤和转义直接回显特点：攻击授信和未授信用户，不直接攻击效劳器很常见，例如贴图、AJAX回调、富文本〔如评论留言〕恶意脚本可能位于跨站效劳器，但必须用户浏览器执行，最暴力的防范就是禁用JS脚本整理课件3.XSS–实例彩票业务AJAX回调导致的XSS漏洞://caipiao.taobao/lottery/order/getDcSpInfoAjax.htm?callback=%3Cscript%3Ealert%28%27xss%27%29%3C/script%3E整理课件3.XSS–危害挂蠕虫、木马、病毒盗取用户的cookie/referer/ip等信息制作钓鱼网站用户被提交恶意数据、被执行恶意操作帮助CSRF，绕过CSRF的token验证整理课件3.XSS–代码分析<span>$!productName</span><inputtype="hidden"Name="OrinSearchText"value="$!searchBarView.LastKeyword"id="OrinSearchText_rfs"$disabledFlag/><script>varfromgcn='$!rundata.Parameters.getString('fromgcn')';</script><span><iframesrc=://hacker></iframe></span><inputtype="hidden"Name="OrinSearchText"value=""><iframesrc=://hacker></iframe><""id="OrinSearchText_rfs"$disabledFlag/><script>varfromgcn='';hackerFunction(document.cookie);'';</script>整理课件3.XSS–防范输入过滤，RichTextXssFilter.filter(input)输出转义，HTMLESCAPE整理课件4.CSRF–简介CrossSiteRequestForgery，即跨站请求伪造，有时也缩写为XSRF定义：在恶意站点上，促使用户请求有CSRF漏洞的应用的URL或欺骗性的表单，从而修改用户数据实质：利用session机制，盗用授信用户对应用做一些恶意的GET/POST提交特点：不同于XSS，恶意脚本一定位于跨站效劳器攻击授信用户，不直接攻击效劳器近年增多，授信用户的贴图、表单提交、页面交互、AJAX调用都可能导致该漏洞整理课件4.CSRF–实例黑客在效劳器端编写恶意脚本，并构造授信操作的URL，例如评论恶意用户回复帖子时候贴图，图片地址指向黑客事先编写的恶意脚本当用户浏览这些帖子时，就会请求该图片，不知觉访问了恶意脚本恶意脚本利用302重定向，根据帖子不同跳转到对应的评论URL用户在不知情情况下发表了评论，帮恶意用户顶贴所以，论坛一般会让用户在评论时输入验证码，来防止类似攻击整理课件4.CSRF–危害获得管理员权限盗取用户银行卡、信用卡信息授信用户被提交恶意数据、被执行恶意操作整理课件4.CSRF–防范效劳器区分GET/POST，增加攻击难度REFERER校验，补充手段改长授信为短授信时间戳关键流程使用验证码Token验证严防XSS，否那么短授信可能被伪造整理课件5.其它漏洞命令行注入文件上传漏洞缓冲区溢出DDoS访问控制漏洞LogicFlaw，逻辑漏洞无限制URL跳转漏洞表单重复提交Struts/Webwork远程命令执行漏洞整理课件6.平安开发流程提高平安开发意识遵守平安编码标准引入WEB平安测试逆向思维，从黑客角度发现潜在的漏洞网络平安≠WEB平安≠XSS≠alert整理课件7.黑客攻击思路找漏洞分析产品或开源代码浏览器、操作系统的0day漏洞编写恶意脚本蛊惑用户访问恶意链接，执行恶意脚本完成攻击得到用户隐私拿管理员权限钓鱼网站挂木马整理课件9.平安开发Checklist安全分类项目自检必选SQL注入iBatis中使用的$变量是否都有元数据标识*XSSwebx里是否配置了vm模板的自动XSS输出转义*vm模板以外的回显内容是否有显式的输入过滤输出转义*贴图功能是否有防XSS考虑*再次确认没有遗漏的搜索框、评论、AJAX回调等XSS高发区CSRF关键业务是否有验证码校验授信操作是否都有token校验*贴图功能是否有防CSRF考虑*其它所用的数据库、操作系统账户是否有过高的权限*所用的struts2是否修复了远程命令执行漏洞*上传文件功能是否考虑了安全防范*向导类操作是否都有对前一步骤结果的校验*考虑并解决了表单重复提交漏洞*与第三方合作的接口是否考虑了安全防范*UR