web应用程序安全培训资料.pptVIP

北京邮电大学 信息安全中心 黄玮 总结 本次演讲仅仅覆盖了Web应用程序的一些最常见的漏洞，并没有覆盖全部的漏洞情形 不要仅仅关注于漏洞的表象，要深入分析漏洞的机理 安全应该融入整个软件开发过程中 需求阶段 设计阶段 编码实现阶段 测试阶段 部署阶段 最重要的安全编码准则 永远不要相信用户输入（不能仅依赖于客户端的数据校验） 永远不要将不必要的信息显示给用户 在重负载的情况下测试应用程序的表现 北京邮电大学 信息安全中心 黄玮 Web应用安全展望 服务器端面临的风险和挑战 AJAX安全 Flash安全 Web蠕虫（XSS蠕虫） Web Service安全 。。。 客户端（浏览器）需要进行的安全加强 XSS攻击代码的检测 BHO安全(QuickTime、PDF、图像处理) URI安全（第三方程序自定义的协议处理函数） DNS欺骗（利用Flash、Java。。。） RSS聚合攻击 。。。 有用的工具 Practice WebGoat 手工测试 Firefox + Firebug + Live HTTP Headers + Modify Headers … FireCAT 其他工具 Nikto Paros WebInject Wapiti WebScarab Burp 还有别的吗？ Google Knows 相关站点 / / / http://packetstormsecurity.nl/ / / / 4.跨站点脚本(XSS)-解决方案 输入校验 编码所有的展现层输出（HTMLEncode或JSTL的c:out、Struts的bean:write标签等） 对输入进行长度限制或截短 如果你的应用程序需要显示用户提交HTML内容，你应该过滤script标签，。。。，要确保用户不能提交恶意脚本代码 上面的办法是远远不够的，可以参考MySpace的Samy蠕虫的攻击代码 lt; gt; ( #40; ) #41; # #35; #38; 北京邮电大学 信息安全中心 黄玮 5.不恰当的错误处理-示例 错误的用户名 错误的用户口令 北京邮电大学 信息安全中心 黄玮 5.不恰当的错误处理-描述 程序的错误消息会暴露程序的一些实现细节 示例 堆栈调试信息，数据库错误消息，错误代码 JSP编译错误信息包含物理路径信息 不一致的错误消息（例如拒绝访问或没有找到） 错误导致的服务器宕机（DoS） 用户错误输入回显到页面时没有进行过滤或转义导致的XSS攻击 北京邮电大学 信息安全中心 黄玮 5.不恰当的错误处理-解决方案 定义一套清晰和一致的错误处理机制 简明扼要的易于用户理解的错误消息（例如，不同的错误消息对应一个错误代码id） 为系统管理员记录重要信息（关联错误代码id） 不要暴露出任何对攻击者有用的信息（程序的调试信息和异常时堆栈信息等） 当需要显示用户的错误输入时，一定要编码（过滤或转义）用户的错误输入 部署产品之前要预编译JSP代码 修改默认的错误页面（404，401等） 执行代码复查 北京邮电大学 信息安全中心 黄玮 输入 Web应用程序 进入后台 平台 应用程序服务器 操作系统 网络 输出 Web应用程序设计实现的安全问题 北京邮电大学 信息安全中心 黄玮 6.脆弱的访问控制-示例 文档/软件的下载链接地址保护 /docs/1.doc /docs/download.do?id=1 Web应用程序的后台管理入口地址 /admin /console/login 后台操作未执行用户身份认证 /users/deleteUser.do?userid=001 /users/addUser.do?userid=001 北京邮电大学 信息安全中心 黄玮 6.脆弱的访问控制-描述 内容或程序功能未能有效的保护以限制只允许合法用户的访问 典型案例 不安全的id 强制浏览（直接在浏览器的地址栏中输入URL） 目录遍历 文件访问权限 客户端缓存 可能的原因 认证只发生在用户登录时 仅对URL进行鉴权，而不是对内容进行鉴权 未采取集中式的授权管理，而是分散授权管理 北京邮电大学 信息安全中心 黄玮 6.脆弱的访问控制-解决方案 对每个需要保护的请求进行检查，不仅是在用户第一次请求时进行检查 避免使用自己开发的访问控制，而是使用J2EE提供的CMS或者其他的一些安全框架，如Acegi 采用声明式而非硬编码的访问控制 集中化访问控制而非分散访问控制 注意：J2EE容器默认允许所有URL的访问 （可选）扩展基于实例的访问控制 防止客户端缓存重要内容：设置HTTP请求头和meta标签 在服务器端使用操作系统提供的访问控制保护文件的未经授权的访问 北京邮电大学 信息安全中心 黄玮 7.脆弱认证和会话管理-示例 未采用Session cookie，而是在URL中编码已