安全攻击及防范手册.docVIP

PAGE 2 编号： 编号： VS-TEM-TS/UM 密级： 秘 密 类别： 模 板 安全攻击及防范 安全攻击及防范手册 版本 1.0 编制： 曹务滨 审核： 批准： 胜利油田胜利软件有限责任公司 ShengLi Oil Field Victorysoft Co., Ltd. 2010年8月 概述 简介 当今世界，Internet(因特网)已经成为一个非常重要的基础平台，很多企业都将应用架设在该平台上，为客户提供更为方便、快捷的服务支持。这些应用在功能和性能上，都在不断的完善和提高，然而在非常重要的安全性上，却没有得到足够的重视。随着WEB技术应用的范围越来越广泛，WEB技术相关的安全漏洞越来越多的被挖掘出来，而针对WEB站点的攻击已经成为了最流行的攻击途径。 不久前项目管理部对公司内外重点系统进行了一次安全隐患分析测试，并总结出了《公司安全测试问题分类及描述》的报告文档。本文针对此报告中提到的一些重大安全隐患问题逐一分析，并给出相应的解决方案。 参考资料 《Java安全性编程实例》 《网站系统安全开发手册》 《企业级Java安全性(构建安全的J2EE应用)》 安全隐患及预防措施 会话标识未更新 描述 登陆过程前后会话标识的比较，显示它们并未更新，这表示有可能伪装用户。初步得知会话标识值后，远程攻击者有可能得以充当已登录的合法用户。 安全级别 高。 安全风险 可能会窃取或操纵客户会话和 cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。 解决方案 不要接受外部创建的会话标识。 始终生成新的会话，供用户成功认证时登录。 防止用户操纵会话标识。 请勿接受用户浏览器登录时所提供的会话标识。 技术实现 登陆界面和登陆成功的界面一致时 修改后台逻辑，在验证登陆逻辑的时候，先强制让当前session过期，然后用新的session存储信息。 登陆界面和登陆成功的界面不一致时 在登陆界面后增加下面一段代码，强制让系统session过期。 request.getSession().invalidate();//清空session Cookie cookie = request.getCookies()[0];//获取cookie cookie.setMaxAge(0);//让cookie过期 注意： 框架2.0已经修改了登陆验证类，登陆成功后会清理掉当前session，重新创建一个新的session。凡是使用框架2.0的项目均可统一增加此功能。 不充分帐户封锁 描述 程序没有使用锁定功能，可以穷举密码，可以造成蛮力攻击，恶意用户发送大量可能的密码和/或用户名以访问应用程序的尝试。 由于该技术包含大量登录尝试，未限制允许的错误登录请求次数的应用程序很容易遭到这类攻击。 安全级别 高。 安全风险 可能会升级用户特权并通过 Web 应用程序获取管理许可权。 解决方案 请确定允许的登录尝试次数（通常是 3-5 次），确保超出允许的尝试次数之后，便锁定帐户。 为了避免真正的用户因帐户被锁定而致电支持人员的麻烦，可以仅临时性暂挂帐户活动，并在特定时间段之后启用帐户。帐户锁定大约 10 分钟，通常用这样的方法阻止蛮力攻击。 技术实现 提供锁定信息配置类，可根据项目特定需求修改此配置信息。 修改登陆验证逻辑，根据上面的配置信息提供帐户锁定功能。 注意： 框架2.0已经实现了此功能，凡是使用框架2.0的项目均可统一增加此功能。 可预测的登录凭证 描述 发现应用程序会使用可预期的认证凭证（例如：admin+admin、guest+guest）。 攻击者很容易预测用户名和密码，登录应用程序，从而获取未获授权的特权。 安全级别、 高。 安全风险 可能会升级用户特权并通过 Web 应用程序获取管理许可权。 解决方案 不应使用易于预测的凭证（例如：admin+admin、guest+guest、test+test 等），因为它们可能很容易预测，可让用户不当进入应用程序。 技术实现 只要养成良好的习惯，坚决不使用容易预测的名和密码，即可彻底杜绝此类问题。 登录错误消息凭证枚举 描述 当试图利用不正确的凭证来登录时，当用户输入无效的用户名和无效的密码时，应用程序会分别生成不同的错误消息。 通过利用该行为，攻击者可以通过反复试验（蛮力攻击技术）来发现应用程序的有效用户名，再继续尝试发现相关联的密码。 安全级别 高。 安全风险 可能会升级用户特权并通过 Web 应用程序获取管理许可权。 解决方案 不论名和密码哪个错误，都提示同样的消息。且同时加上登陆失败次数达到规定的帐户锁定功能。 技术实现 不论名和密码哪个错误，都提示如下所示同样的消息： 一旦某个帐户连续登陆失败次数达到了规定的数值，就会按配置的时间被锁