javaWeb安全验证漏洞修复小结.docVIP

EMA服务管理平台二期扩容安全验收 漏洞修复总结 2011年5月 目 录 1 Web安全介绍 1 2 SQL注入、盲注 1 2.1 SQL注入、盲注概述 1 2.2 安全风险及原因 2 2.3 AppScan扫描建议 2 2.4 应用程序解决方案 4 3 会话标识未更新 7 3.1 会话标识未更新概述 7 3.2 安全风险及原因分析 7 3.3 AppScan扫描建议 8 3.4 应用程序解决方案 8 4 已解密登录请求 8 4.1 已解密登录请求概述 8 4.2 安全风险及原因分析 8 4.3 AppScan扫描建议 9 4.4 应用程序解决方案 9 5 跨站点请求伪造 11 5.1 跨站点请求伪造概述 11 5.2 安全风险及原因分析 12 5.3 AppScan扫描建议 12 5.4 应用程序解决方案 12 6 不充分账户封锁 13 6.1 不充分账户封锁概述 13 6.2 安全风险及原因分析 13 6.3 AppScan扫描建议 13 6.4 应用程序解决方案 13 7 启用不安全HTTP方法 14 7.1 启用不安全HTTP方法概述 14 7.2 安全风险及原因分析 14 7.3 AppScan扫描建议 15 7.4 应用程序解决方案 15 8 HTTP注释敏感信息 16 8.1 HTTP注释敏感信息概述 16 8.2 安全风险及原因分析 16 8.3 AppScan扫描建议 16 8.4 应用程序解决方案 16 9 发现电子邮件地址模式 16 9.1 发现电子邮件地址模式概述 16 9.2 安全风险及原因分析 17 9.3 AppScan扫描建议 17 9.4 应用程序解决方案 17 10 通过框架钓鱼 20 10.1 通过框架钓鱼概述 20 10.2 安全风险及原因分析 20 10.3 AppScan扫描建议 20 10.4 应用程序解决方案 23 11 检查到文件替代版本 25 11.1 检查到文件替代版本概述 25 11.2 安全风险及原因分析 25 11.3 AppScan扫描建议 25 11.4 应用程序解决方案 26 Web安全介绍 　 目前很多业务都依赖于互联网，例如说网上银行、网络购物、网游等，很多恶意攻击者出于不良的目的对Web 服务器进行攻击，想方设法通过各种手段获取他人的个人账户信息谋取利益。正是因为这样，Web业务平台最容易遭受攻击。同时，对Web服务器的攻击也可以说是形形色色、种类繁多，常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。 　　一方面，由于TCP/IP的设计是没有考虑安全问题的，这使得在网络上传输的数据是没有任何安全防护的。攻击者可以利用系统漏洞造成系统进程缓冲区溢出，攻击者可能获得或者提升自己在有漏洞的系统上的用户权限来运行任意程序，甚至安装和运行恶意代码，窃取机密数据。而应用层面的软件在开发过程中也没有过多考虑到安全的问题，这使得程序本身存在很多漏洞，诸如缓冲区溢出、SQL注入等等流行的应用层攻击，这些均属于在软件研发过程中疏忽了对安全的考虑所致。 另一方面，用户对某些隐秘的东西带有强烈的好奇心，一些利用木马或病毒程序进行攻击的攻击者，往往就利用了用户的这种好奇心理，将木马或病毒程序捆绑在一些艳丽的图片、音视频及免费软件等文件中，然后把这些文件置于某些网站当中，再引诱用户去单击或下载运行。或者通过电子邮件附件和QQ、MSN等即时聊天软件，将这些捆绑了木马或病毒的文件发送给用户，利用用户的好奇心理引诱用户打开或运行这些文件Web 应用程序通常在后端使用数据库，以与企业数据仓库交互。查询数据库事实上的标准语言是 SQL（各大数据库供应商都有自己的不同版本）。Web 应用程序通常会获取用户输入（取自 HTTP 请求），将它并入 SQL 查询中，然后发送到后端数据库。接着应用程序便处理查询结果，有时会向用户显示结果。 如果应用程序对用户（攻击者）的输入处理不够小心，攻击者便可以利用这种操作方式。在此情况下，攻击者可以注入恶意的数据，当该数据并入 SQL 查询中时，就将查询的原始语法更改得面目全非。例如，如果应用程序使用用户的输入（如用户名和密码）来查询用户帐户的数据库表，以认证用户，而攻击者能够将恶意数据注入查询的用户名部分（和/或密码部分），查询便可能更改成完全不同的数据复制查询，可能是修改数据库的查询，或在数据库服务器上运行 Shell 命令的查询。可能会查看、修改或删除数据库条目和表未对用户输入正确执行危险字符清理 若干问题的补救方法在于对用户输入进行清理。 通过验证用户输入未包含危险字符，便可能防止恶意的用户导致应用程序执行计划外的任务，例如：启动任意 SQL 查询、嵌入将在客户端