ASP.NET Web應用程式安全解決方案淺析

一、ASP.NET Web應用程式架構安全隱患

1.      對於程式集主要威脅：未驗證存取、反向工程、代碼注入、通過異常獲得程式資訊、未審核訪問。 

2.      用戶端與Web應用程式之間的安全隱患：代碼注入（跨網站指令碼或緩衝區溢位攻擊）、網路監控（密碼和敏感應用程式資料探測）、參數破解（表單欄位、查詢字串、Cookie、檢視狀態、HTTP頭資訊）、工作階段狀態變數ID取得、資訊擷取（通常使用異常）。 

3.      Web應用程式用戶端與企業服務之間的安全隱患：非審核訪問、破解配置資料、網路監視、未約束代理、資料複製。 

4.      Web服務用戶端及其服務之間的安全隱患：非審核訪問、參數破解、配置資料取得、網路監、訊息回複。 

5.      Remoting用戶端及伺服器之間的安全隱患：非審核訪問、參數破解、序列化、網路監控。

6.      用戶端到資料之間的安全隱患：非審核訪問、SQL注入、破解資料模型和連結詳細資料、網路監控、破解配置資料、破解面幹應用程式資料。

* ASP.NET安全架構注意事項
1.      在瀏覽器認證使用者；

2.      在瀏覽器和防火牆通路中1)保護敏感性資料2)阻止參數破解3)阻止會話攻擊和Cookie回複攻擊

3.      在Web應用程式側1)提供安全配置2)處理異常3)審核使用者4)驗證輸入

4.      應用程式伺服器1)認證和審核上傳身份2)審核並記錄活動和事務

5.      在應用程式伺服器和資料庫間保護敏感性資料

6.      資料庫中加密或者雜湊加密敏感性資料

 

二、ASP.NET Web應用程式安全性隱患防治辦法

1.      防止跨網站指令碼攻擊（Cross-Site Scripting Attack）

攻擊方法：在頁面通過輸入指令碼或HTML內容擷取敏感性資料。
威脅指數：6

攻擊結果：應用程式拒絕服務或重啟，獲得錯誤堆棧資訊（※）推測代碼進行下一步攻擊。

※註：在ASP.NET設定檔中如果未關閉CustomErrors則可能導致在出現系統異常時顯示錯誤行代碼或資料庫連接字串，泄漏配置資料，造成危險隱患。

預防措施：ASP.NET控制項驗證或伺服器端輸入驗證。

採用用戶端驗證和伺服器端驗證結合的方式對使用者輸入進行驗證，通過比較控制項輸入和其HTML解碼值的一致性確認輸入字串中是否含有HTML特殊符號，以此作為依據轉化HTML特殊符號，防止指令碼在回傳表示時觸發。

 

2.      防止SQL注入攻擊（SQL Injection Attack）

攻擊方法：通過畫面輸入或URL參數修改，利用其作為SQL查詢條件的特殊性，將輸入SQL文注入並返回結果的攻擊。

威脅指數：9

攻擊結果：可查詢敏感性資料並可修改系統資料。

預防措施：在資料更新和查詢時使用資料庫參數對象或使用自訂方法轉換輸入參數，以使注入SQL文失效。

3.      驗證使用者輸入

通過用戶端驗證為主、伺服器端驗證為輔（當禁用用戶端Javascript時伺服器端驗證就尤為重要）

用戶端驗證主要負責驗證使用者輸入的類型、長度、關聯關係的驗證（此功能由系統擴充控制項提供）；

伺服器端驗證分為兩部分：

1)      輸入驗證

輸入驗證需要對使用者輸入文字的HTML特殊字元進行驗證，含有特殊字元的要拋出系統錯誤；資料的長度控制盡量在畫面通過控制項的允許輸入長度進行控制；

2)      資料驗證

驗證資料類型、長度等；此驗證行為在對象上進行。

4.      使用Hash演算法儲存密碼

使用ASP.NET Membership系統管理使用者，使用者密碼使用Hash演算法和Salt加密，安全性高；

對於其它需要儲存的密碼，系統基礎結構將提供Hash密碼編譯演算法進行不可反向加密，作為驗證憑據，或者先取先用不儲存在資料存放區中。

5.      資料安全性

1)      加密敏感性資料：基礎結構應提供Hash密碼編譯演算法支援資料加密。

2)      XML資料安全性：防止XML資料攻擊。

攻擊方法：XPath注入和XXE（擴充XML實體）注入攻擊。

威脅指數：8

攻擊結果：獲得XML檔案資訊。

預防措施：不在XML中儲存敏感資訊，所有設定檔中的敏感資訊需要加密儲存，對於要寫入XML的資料應先通過驗證。

3)      ViewState資料安全性：防止從ViewState擷取敏感性資料。

攻擊方法：通過解碼ViewState獲得敏感資訊。

威脅指數：6

攻擊結果：獲得ViewState中的敏感資訊。

預防措施：禁用ViewState或避免，使用簡單控制項採用加密方式儲存敏感資訊。

關聯問題：使用JSON字串時注意敏感性資料的處理。

6.      儲存安全資訊到註冊表和設定檔

控制遠端使用者對設定檔的存取權限，保護設定檔中的敏感性資料。

7.      再發布前修正設定檔

為防止錯誤堆棧資訊推測以及通過其它資訊查獲手段進行攻擊，ASP.NET Web應用程式在發布前應對設定檔進行修正。

錯誤堆棧資訊推測攻擊

攻擊方法：造成系統異常，通過錯誤頁上的堆棧資訊推測代碼進行下一步攻擊。

威脅指數：6

攻擊結果：推測系統版本和代碼邏輯。

預防措施：捕獲系統異常使用統一頁面進行處理不表示錯誤堆棧資訊，將自訂錯誤節點設定為<customErrors mode=”Off” />即可防止錯誤資訊表示給遠端使用者；同時應關閉調試開關<compilation defaultLanguage=”vb” debug=”false” />防止通過調試資訊洩漏原始碼或進行代碼注入。

同時應該關閉Trace最佳化效能並防止方法攻擊者利用Trace推測代碼執行過程和詳細內容：<trace enabled=”false” requestLimit=”10” pageOutput=”false” traceMode = ”SortByTime” />

對於Web服務要防止遠端使用者利用WSDL描述進行推測攻擊。

攻擊方法：訪問Web服務WSDL檔案，獲得Web服務相關資訊。

威脅指數：4

攻擊結果：獲得Web服務方法描述，推測Web服務參數，進行下一步攻擊。

預防措施：在設定檔中指定不表示Web方法描述內容，設定檔改修如下：

              <webServices>

<protocols>

<remove name="Documentation"/>

</protocols>

</webServices>

 

8.      使用Session但不使用Cookieless的Session

原因：Cookieless的Session將在URL中曝露SessionID，使別人易於利用進行攻擊。

9.      預防方向工程

攻擊方法：獲得程式集使用工具進行反向工程。

威脅指數：9

攻擊結果：瞭解程式邏輯，盜取開發成果。

預防措施：在發布時進行強加密和混淆工程。

參考：

ASP.NET Security: 8 Ways to Avoid Attack

http://www.devx.com/security/Article/20898/1954

《Hacking Exposed Web 2.0 : Web 2.0 Security Secrets and Solutions》,Rich Cannings, Himanshu Dwivedi, Zane Lackey,2008.