（安全生产）安全攻击及防范手册.pdf

（安全生产）安全攻击及防 范手册 2010 年 8 月 1 概述 1 概述 1.1 简介 1.1 简介 当今世界，Internet(因特网)已经成为一个非常重要的基础平台， 很多企业都将应用架设在该平台上，为客户提供更为方便、快捷 的服务支持。这些应用在功能和性能上，都在不断的完善和提高， 然而在非常重要的安全性上，却没有得到足够的重视。随着WEB 技 术应用的范围越来越广泛，WEB 技术相关的安全漏洞越来越多的被挖 掘出来，而针对 WEB 站点的攻击已经成为了最流行的攻击途径。 不久前项目管理部对公司内外重点系统进行了一次安全隐患分析测 试，并总结出了《公司安全测试问题分类及描述》的报告文档。本文 针对此报告中提到的一些重大安全隐患问题逐一分析，并给出相应的 解决方案。 1.2 参考资料 1.2 参考资料 《Java 安全性编程实例》 《网站系统安全开发手册》 《企业级 Java 安全性(构建安全的 J2EE 应用)》 2 WEB 安全隐患及预防措施 2 WEB 安全隐患及预防措施 2.1 会话标识未更新 2.1 会话标识未更新 2.1.1 描述 2.1.1 描述 登陆过程前后会话标识的比较，显示它们并未更新，这表示有可 能伪装用户。初步得知会话标识值后，远程攻击者有可能得以充当已 登录的合法用户。 2.1.2 安全级别 2.1.2 安全级别 高。 2.1.3 安全风险 2.1.3 安全风险 可能会窃取或操纵客户会话和 cookie ，它们可能用于模仿合法用 户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。 2.1.4 解决方案 2.1.4 解决方案  不要接受外部创建的会话标识。  始终生成新的会话，供用户成功认证时登录。  防止用户操纵会话标识。  请勿接受用户浏览器登录时所提供的会话标识。  如果有验证码的。验证码改用 application 存储。同时记得释放 资源 2.1.5 技术实现 2.1.5 技术实现  登陆界面和登陆成功的界面一致时 修改后台逻辑，在验证登陆逻辑的时候，先强制让当前 session 过期，然后用新的 session 存储信息。  登陆界面和登陆成功的界面不一致时 在登陆界面后增加下面一段代码，强制让系统 session 过期。 request.getSession().invalidate();//清空 session Cookiecookie=request.getCookies()[0];//获取 cookie cookie.setMaxAge(0);//让 cookie 过期 注意： 框架 2.0 已经修改了登陆验证类，登陆成功后会清理掉当前 session ，重新创建一个新的session 。凡是使用框架2.0 的项目 均可统一增加此功能。 2.2 不充分帐户封锁 2.2 不充分帐户封锁 2.2.1 描述 2.2.1 描述 程序没有使用锁定功能，可以穷举密码，可以造成蛮力攻击，恶 意用户发送大量可能的密码和/或用户名以访问应用程序的尝试。由 于该技术包含大量登录尝试，未限制允许的错误登录请求次数的应用 程序很容易遭到这类攻击。 2.2.2 安全级别 2.2.2 安全级别 高。 2.2.3 安全风险 2.2.3 安全风险 可能会升级用户特权并通过Web 应用程序获取管理许可权。 2.2.4 解决方案 2.2.4 解决方案 请确定允许的登录尝试次数（通常是 3-5 次），确保超出允许的 尝试次数之后，便锁定帐户。为了避免真正的用户因帐户被锁定而致 电支持人员的麻烦，可以仅临时性暂挂帐户活动，并在特定时间段之 后启用帐户。帐户锁定大约 10 分钟，通常用这样的方法阻止蛮力攻 击。 2.2.5 技术实现 2.2.5 技术实现  提供锁定信息配置类，可根据项目特定需求修改此配置信息。  修改登陆验证逻辑，根据上面的配置信息提供帐户锁定功能。 注意： 框架 2.0 已经实现了此功能，凡是使用框架2.0 的项目均可统一 增加此功能。 2.3 可预测的登录凭证 2.3 可预测的登录凭证 2.3.1 描述 2.3.1 描述