常见漏洞以及修复方法技术总结.docxVIP

常见漏洞以及修复方法文:政府事业本部第一事业部　劳动人事开发部 刘世涛目录(一)前言3(二)常见漏洞及原理分析31.sql脚本注入32.跨站点脚本编制33.不安全的HTTP方法及登录验证相关44.跨站点请求伪造45.危险性较低的开发及配置问题4(三)系统防御原理51.sql脚本注入52.跨站点脚本编制53.不安全的HTTP方法及登录验证相关64.跨站点请求伪造65.危险性较低的开发及配置问题6(四)结语7前言在做互联网的项目中，由于网络用户数量大、环境更加复杂，对系统安全的考虑要更加慎重和全面。我在部门中参与了多个互联网项目，以此为基础，并结合IBM AppScan安全工具，介绍一下我们遇到的几个安全方面的问题及其原理和解决方案。我们的项目使用的技术主要包括：spring、spring MVC、freemarker、hibernate。本文主要站在软件系统的构建者和开发者的角度出发，类似网络环境、服务器配置等，可以参考其他资料。常见漏洞及原理分析sql脚本注入后台执行sql语句时，使用字符串拼接的方式，并且该字符串是使用浏览器提交的数据时。攻击者将提交的数据就行修改，可以达到执行希望的sql的目的。该攻击比较危险，可能会造成数据破坏和数据盗取的后果。例如：用户提交username和password两个字段，系统后台判断语句为String sql = “select * from user where name=’”+username+”’ and password=’”+password+”’”;后台通过判断查询结果是否为空，来决定用户的账号和密码是否正确。如果用户将username的值写为 admin‘ or 1 or ‘，并且存在账号名称为admin的管理员用户，则可以直接以admin登录成功。以上例子只是很简单的一种状况，如果某些功能处理不好，有可能会造成大量数据被盗取的严重后果。跨站点脚本编制攻击者在浏览器向服务端提交的数据中，加入危险的内容，如js脚本等。如果服务器端没有响应的防御措施，则会被注入跨站脚本。典型的攻击分为两类：持久型：例如攻击者在某博客内留言，该留言内容中嵌有一段获取用户账号cookie的JS脚本。该博客被某个登录用户访问时，脚本会在用户未知的情况下运行，就会被盗取账号等个人信息。非持久型：攻击者在查询的请求内，使用URL参数的方式添加html语法内容和非法js脚本，并且将该URL发送给登录用户。登陆用户点击连接之后，脚本会在用户未知的情况下运行，就有可能被盗取账号等个人信息。不安全的HTTP方法及登录验证相关针对现有的常见漏洞进行解释：已解密的登录请求、启用了不安全的 HTTP 方法：如果没有使用https协议，攻击者可以在网络层面对数据进行拦截。针对登录、注册等功能，账户等主要信息会被法拦截。不充分帐户封锁：攻击者可能会使用穷举法对密码进行暴力破解。会话标识未更新：用户在未登录和登录后的sessionid没有进行更新，则攻击者仿造一个带有自定义的jsessionid参数的URL发送给被攻击者，通常为登录页面，如果被攻击者点击链接之后，进行了登录操作，jsessionid未更新，并且攻击者拥有这个jsessionid，则可以使用这个sessionid作为攻击者自身的信息，进入系统后，就拥有了被攻击者的权限。跨站点请求伪造在某个非法网站的页面内嵌入允许跨站点的标签，例如js、img标签。标签的src属性为某个操作的请求，例如转账、授权等等。当用户在登录被攻击网站之后，如果访问该非法页面，则会自动向被攻击网站发送一条请求，此时网站认为该请求是用户本人的操作，攻击成功。危险性较低的开发及配置问题Bash Shell 历史记录文件检索服务器配置Robots.txt 文件 Web 站点结构暴露会话 cookie 中缺少 HttpOnly 属性会话cookie没有HttpOnly属性，则在浏览器端可以使用js等手段进行修改自动填写未对密码字段禁用的 HTML 属性自动记录密码功能HTML 注释敏感信息泄露注释信息中含有某些关键字，如password等等发现电子邮件地址模式注释或代码中存在邮件格式的信息，可能会有信息泄露发现内部 IP 泄露模式返回信息中，带有内部IP信息，可能会有信息泄露客户端（JavaScript）Cookie 引用浏览器端运行的js文件对cookie进行了引用，可能会被攻击者利用。系统防御原理sql脚本注入要求所有的人员在开发过程中，杜绝食用字符串直接拼接sql语句的方式，而使用预编译或命名参数的方式。例如：String sql = “select * from a where b=’”+name+”’”; //name为浏览器请求的参数预编译的sql在jdbc中的体现为prepareds