WEB应用程序安全培训材料.pptVIP

4.跨站点脚本()-描述 攻击者将恶意脚本代码发送到终端用户的浏览器 应用程序的输出直接回显到用户的浏览器而未经过检查 浏览器信任应用程序的代码 恶意脚本可以 访问，会话令牌，或其他通过用户浏览器获得的敏感信息 重写页面 2种基本策略 持久化的（可自动触发），例如恶意代码存储到数据库中，通过论坛发帖，访客留言等 反射型（诱骗点击型），例如错误消息，搜索引擎 危害示例 会话劫持 钓鱼攻击 攻击 远程信息获取，如端口扫描、用户浏览历史信息枚举 北京邮电大学 信息安全中心 黄玮 第三十一页，共七十一页。 4.跨站点脚本()-解决方案 输入校验 编码所有的展现层输出（或的、的标签等） 对输入进行长度限制或截短 如果你的应用程序需要显示用户提交内容，你应该过滤标签，。。。，要确保用户不能提交恶意脚本代码 上面的办法是远远不够的，可以参考的蠕虫的攻击代码 ; ; ( 40; ) 41; # 35; 38; 北京邮电大学 信息安全中心 黄玮 第三十二页，共七十一页。 5.不恰当的错误处理-示例 错误的用户名 错误的用户口令 北京邮电大学 信息安全中心 黄玮 第三十三页，共七十一页。 5.不恰当的错误处理-描述 程序的错误消息会暴露程序的一些实现细节 示例 堆栈调试信息，数据库错误消息，错误代码 编译错误信息包含物理路径信息 不一致的错误消息（例如拒绝访问或没有找到） 错误导致的服务器宕机（） 用户错误输入回显到页面时没有进行过滤或转义导致的攻击 北京邮电大学 信息安全中心 黄玮 第三十四页，共七十一页。 5.不恰当的错误处理-解决方案 定义一套清晰和一致的错误处理机制 简明扼要的易于用户理解的错误消息（例如，不同的错误消息对应一个错误代码） 为系统管理员记录重要信息（关联错误代码） 不要暴露出任何对攻击者有用的信息（程序的调试信息和异常时堆栈信息等） 当需要显示用户的错误输入时，一定要编码（过滤或转义）用户的错误输入 部署产品之前要预编译代码 修改默认的错误页面（404，401等） 执行代码复查 北京邮电大学 信息安全中心 黄玮 第三十五页，共七十一页。 输入 应用程序 进入后台 平台 应用程序服务器 操作系统 网络 输出 应用程序设计实现的安全问题 北京邮电大学 信息安全中心 黄玮 第三十六页，共七十一页。 6.脆弱的访问控制-示例 文档/软件的下载链接地址保护 应用程序的后台管理入口地址 后台操作未执行用户身份认证 北京邮电大学 信息安全中心 黄玮 第三十七页，共七十一页。 6.脆弱的访问控制-描述 内容或程序功能未能有效的保护以限制只允许合法用户的访问 典型案例 不安全的 强制浏览（直接在浏览器的地址栏中输入） 目录遍历 文件访问权限 客户端缓存 可能的原因 认证只发生在用户登录时 仅对进行鉴权，而不是对内容进行鉴权 未采取集中式的授权管理，而是分散授权管理 北京邮电大学 信息安全中心 黄玮 第三十八页，共七十一页。 6.脆弱的访问控制-解决方案 对每个需要保护的请求进行检查，不仅是在用户第一次请求时进行检查 避免使用自己开发的访问控制，而是使用J2提供的或者其他的一些安全框架，如 采用声明式而非硬编码的访问控制 集中化访问控制而非分散访问控制 注意：J2容器默认允许所有的访问 （可选）扩展基于实例的访问控制 防止客户端缓存重要内容：设置请求头和标签 在服务器端使用操作系统提供的访问控制保护文件的未经授权的访问 北京邮电大学 信息安全中心 黄玮 第三十九页，共七十一页。 7.脆弱认证和会话管理-示例 未采用 ，而是在中编码已通过认证的用户名和密码 上面的这个很容易被一次攻击截获到 北京邮电大学 信息安全中心 黄玮 第四十页，共七十一页。 7.脆弱认证和会话管理-描述 脆弱的认证和会话管理 典型案例 简单易猜解的用户名和用户口令 存在缺陷的身份管理功能，例如密码修改功能，忘记密码和账户更新功能 主动会话劫持，假冒已通过身份认证的合法用户 协议是无状态协议，因而没有标准的会话管理 使用的重写 （） 北京邮电大学 信息安全中心 黄玮 第四十一页，共七十一页。 7.脆弱认证和会话管理-解决方案 使用强认证机制 密码策略（密码强度，使用/更改/存储控制） 安全传输（） 小心实现“找回密码”功能 移除默认用户 机制需要注意的问题 必须是“安全”的 必须是“不可预测”的 尽量使用应用程序服务器提供的安全机制，而不是实现自己的安全机制 北京邮电大学 信息安全中心 黄玮 第四十二页，共七十一页。 输入 应用程序 进入后台 平台 应用程序服务器 操作系统 网络 输出 基础平台的安全问题 北京邮电大学 信息安全中心 黄玮 第四十三页，共七十一页。 8.不安全的存储-示例 日常备份策略 程序的备份采用可擦写的设备，如移动硬盘、U盘等 使