【正文】 期達(dá)到提高 Web 安全的目的。由于 HTTP 的開(kāi)放性，Web 應(yīng)用程序必須能夠通過(guò)某種形式的身份驗(yàn)證來(lái)識(shí)別用戶，并確保身份驗(yàn)證過(guò)程是安全的，同樣必須很好地保護(hù)用于跟蹤已驗(yàn)證用戶的會(huì)話處理機(jī)制。表 1 列出了一些 Web 缺陷類別，并針對(duì)每類缺陷列出了由于設(shè)計(jì)不當(dāng)可能會(huì)導(dǎo)致的潛在問(wèn)題。權(quán)限管理 訪問(wèn)機(jī)密或受限數(shù)據(jù)、篡改和執(zhí)行未授權(quán)操作。安全審計(jì) 未能識(shí)別入侵征兆、無(wú)法證明用戶的操作，以及在問(wèn)題診斷中存在困難。異常管理 拒絕服務(wù)和敏感的系統(tǒng)級(jí)詳細(xì)信息泄露。針對(duì)眾多的 Web 漏洞，OWASP 的專家們結(jié)合各自在各領(lǐng)域的應(yīng)用安全工作經(jīng)驗(yàn)及智慧，提出了十大 Web 應(yīng)用程序安全漏洞，幫助人們關(guān)注最嚴(yán)重的漏洞。攻擊者發(fā)送的惡意數(shù)據(jù)可以欺騙解釋器，以執(zhí)行計(jì)劃外的命令或者訪問(wèn)未被授權(quán)的數(shù)據(jù)。4 不安全的直接對(duì)象引用當(dāng)開(kāi)發(fā)人員暴露一個(gè)對(duì)內(nèi)部實(shí)現(xiàn)對(duì)象的引用時(shí)，例如，一個(gè)文件、目錄或者數(shù)據(jù)庫(kù)密匙，就會(huì)產(chǎn)生一個(gè)不安全的直接對(duì)象引用。6 安全配置錯(cuò)誤 好的安全需要對(duì)應(yīng)用程序、框架、應(yīng)用程序服務(wù)器、Web 服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器和平臺(tái)，定義和執(zhí)行安全配置。但是，當(dāng)這些頁(yè)面被訪問(wèn)時(shí)，應(yīng)用程序也需要執(zhí)行類似的訪問(wèn)控制檢測(cè)，否則攻擊者將可以偽裝這些 URL 去訪問(wèn)隱藏的網(wǎng)頁(yè)。攻擊者可能利用這種弱保護(hù)數(shù)據(jù)實(shí)行身份盜竊、信用卡欺騙或或其他犯罪。規(guī)則 ：如果 Web 應(yīng)用對(duì) Inter 開(kāi)放，Web 服務(wù)器應(yīng)該部署在其專用的服務(wù)器上，應(yīng)避免將數(shù)據(jù)庫(kù)服務(wù)器或其他核心應(yīng)用與 Web 服務(wù)器部署在同一臺(tái)主機(jī)上。建議 ：Web 服務(wù)器與應(yīng)用服務(wù)器需物理分離（即安裝在不同的主機(jī)上），以提高應(yīng)用的安全性。說(shuō)明：額外的訪問(wèn)限制，可以限制請(qǐng)求來(lái)自企業(yè)內(nèi)網(wǎng)，可以建立 VPN，或采用雙向認(rèn)證的SSL；或采用更簡(jiǎn)單的辦法，通過(guò) IP 地址白名單對(duì)客戶端的 IP 地址進(jìn)行過(guò)濾判斷，實(shí)施參考《附件 3 客戶端 IP 鑒權(quán)實(shí)施指導(dǎo)》。規(guī)則 ：網(wǎng)頁(yè)上的登錄/認(rèn)證表單必須加入驗(yàn)證碼。具體實(shí)現(xiàn)細(xì)節(jié)請(qǐng)查看 驗(yàn)證碼。說(shuō)明：如果驗(yàn)證碼和用戶名、密碼分開(kāi)提交，攻擊者就可以繞過(guò)驗(yàn)證碼校驗(yàn)（如：先手工提交正確的驗(yàn)證碼，再通過(guò)程序暴力破解），驗(yàn)證碼就形同虛設(shè)，攻擊者依然可以暴力破解用戶名及口令。規(guī)則 ：認(rèn)證處理模塊必須對(duì)提交的參數(shù)進(jìn)行合法性檢查。規(guī)則 ：最終用戶 portal 和管理 portal 分離。規(guī)則 ：對(duì)于重要的管理事務(wù)或重要的交易事務(wù)要進(jìn)行重新認(rèn)證，以防范會(huì)話劫持和跨站請(qǐng)求偽造給用戶帶來(lái)?yè)p失。實(shí)施指導(dǎo)：場(chǎng)景一：對(duì)于從 HTTP 轉(zhuǎn)到 HTTPS 再轉(zhuǎn)到 HTTP（也就是僅在認(rèn)證過(guò)程采用 HTTPS，認(rèn)證成功后又轉(zhuǎn)到 HTTP）的，在用戶名和密碼認(rèn)證通過(guò)后增加以下行代碼：().invalidate()。(false)。(true)。說(shuō)明：登錄失敗應(yīng)該提示用戶：如果重試多少次不成功系統(tǒng)將會(huì)鎖定。建議優(yōu)先使用帳號(hào)鎖定策略。說(shuō)明：驗(yàn)證碼不能使用文本格式，不允許多圖片組合（如用四個(gè)圖片拼成的驗(yàn)證碼）。說(shuō)明：在客戶端網(wǎng)頁(yè)上點(diǎn)擊鼠標(biāo)右鍵、選擇“查看源文件”時(shí)，必須看不到驗(yàn)證碼模塊生成的隨機(jī)數(shù)。規(guī)則 ：驗(yàn)證碼在一次使用后要求立即失效，新的請(qǐng)求需要重新生成驗(yàn)證碼。說(shuō)明：目前主流的 Web 容器通過(guò)以下幾種方式維持會(huì)話：隱藏域、 URL 重寫、持久性cookie、會(huì)話 cookie，但通過(guò)隱藏域、URL 重寫或持久性 cookie 方式維持的會(huì)話容易被竊取，所以要求使用會(huì)話 cookie 維持會(huì)話。）備注：對(duì)于嵌入式系統(tǒng)的 Web，不適合本條規(guī)則，按“規(guī)則 ”實(shí)施。對(duì) JSP 語(yǔ)言，就是應(yīng)該通過(guò) session 對(duì)象進(jìn)行存儲(chǔ)和維護(hù)。說(shuō)明：防止會(huì)話信息被篡改，如惡意用戶通過(guò) URL 篡改手機(jī)號(hào)碼等。規(guī)則 ：必須設(shè)置會(huì)話超時(shí)機(jī)制，在超時(shí)過(guò)后必須要清除該會(huì)話信息。說(shuō)明：客戶端流程控制很容易被旁路（繞過(guò)），因此流程控制必須在服務(wù)器端實(shí)現(xiàn)。規(guī)則 ：如果產(chǎn)品（如嵌入式系統(tǒng)）無(wú)法使用通用的 Web 容器，只能自己實(shí)現(xiàn) Web 服務(wù)，那么必須自己實(shí)現(xiàn)會(huì)話管理，并滿足以下要求：? 采用會(huì)話 cookie 維持會(huì)話。另外，為了節(jié)省內(nèi)存，嵌入式 webserver 進(jìn)程往往是動(dòng)態(tài)啟動(dòng)，為了使 session 更快的超時(shí)，建議增加心跳機(jī)制，對(duì)客戶端瀏覽器是否關(guān)閉進(jìn)行探測(cè)，5s 一個(gè)心跳，30s 沒(méi)有心跳則 session 超時(shí)，關(guān)閉該 session。規(guī)則 ：授權(quán)和用戶角色數(shù)據(jù)必須存放在服務(wù)器端，不能存放在客戶端，鑒權(quán)處理也必須在服務(wù)器端完成。一個(gè)角色只能擁有必需的權(quán)限。規(guī)則 ：對(duì)于應(yīng)用程序連接數(shù)據(jù)庫(kù)服務(wù)器的數(shù)據(jù)庫(kù)帳號(hào)，在滿足業(yè)務(wù)需求的前提下，必須使用最低級(jí)別權(quán)限的數(shù)據(jù)庫(kù)帳號(hào)。18 / 37 敏感數(shù)據(jù)存儲(chǔ)規(guī)則 ：禁止在代碼中存儲(chǔ)敏感數(shù)據(jù)。說(shuō)明：密鑰或帳號(hào)的口令必須經(jīng)過(guò)加密存儲(chǔ)。規(guī)則 ：禁止在隱藏域中存放明文形式的敏感數(shù)據(jù)。場(chǎng)景 2：后臺(tái)服務(wù)端保存用戶的登錄口令在該場(chǎng)景下，一般情況是：客戶端提交用戶名及用戶口令，后臺(tái)服務(wù)端對(duì)用戶名及用戶口令進(jìn)行驗(yàn)證，然后返回驗(yàn)證的結(jié)果。說(shuō)明：禁止在日志中記錄明文的敏感數(shù)據(jù)（如口令、會(huì)話標(biāo)識(shí) jsessionid 等）， 防止敏感信息泄漏。 (Pragma,nocache)。說(shuō)明：禁止使用 HTTPGET 方法提交帶有敏感數(shù)據(jù)的表單（ form），因?yàn)樵摲椒ㄊ褂貌樵冏址畟鬟f表單數(shù)據(jù)，易被查看、篡改。由于 SSL 對(duì)服務(wù)端的 CPU 資源消耗很大，實(shí)施時(shí)必須考慮服務(wù)器的承受能力。原因：當(dāng) 請(qǐng)求轉(zhuǎn)為 請(qǐng)求的時(shí)候，因?yàn)樵鹊?session 的 secure 屬性值是 true，無(wú)法再 協(xié)議中傳輸，因此，系統(tǒng)生成新的 session，且新的 session 沒(méi)有繼承舊 session 的屬性和值，因此，無(wú)法保持會(huì)話連續(xù)。規(guī)則 ：禁止將對(duì)用戶保密的信息傳送到客戶端。規(guī)則 ：應(yīng)用服務(wù)器必須對(duì)安全事件及操作事件進(jìn)行日志記錄。說(shuō)明：只有 Web 應(yīng)用程序的管理員才能查詢數(shù)據(jù)庫(kù)表形式或文件形式的安全日志；除數(shù)據(jù)庫(kù)超級(jí)管理員外，只有應(yīng)用程序連接數(shù)據(jù)庫(kù)的帳號(hào)可以查詢（select）及插入（insert）安全日志表；除操作系統(tǒng)超級(jí)管理員外，只有應(yīng)用程序的運(yùn)行帳戶才能讀、寫文件形式的安全日志（但不允許刪除）。規(guī)則 ：禁止日志文件和操作系統(tǒng)存儲(chǔ)在同一個(gè)分區(qū)中，同時(shí)，應(yīng)使用轉(zhuǎn)儲(chǔ)、滾動(dòng)、輪循機(jī)制，來(lái)防止存儲(chǔ)日志的分區(qū)寫滿。可以配置定期備份及清理的時(shí)間，可以配置以用于存放安全日志的磁盤空間使用率達(dá)到多少時(shí)進(jìn)行備份及清理。說(shuō)明：認(rèn)證就是確定誰(shuí)在調(diào)用 Web Service，并且證實(shí)調(diào)用者身份。實(shí)施指導(dǎo)：可以通過(guò) Axis 的 handler 對(duì)調(diào)用進(jìn)行鑒權(quán)。規(guī)則 ：通過(guò) Web Service 接口傳遞重要的交易數(shù)據(jù)時(shí)，必須保障其完整性和不可抵賴性。實(shí)施指導(dǎo)：請(qǐng)參考《附件 3 客戶端 IP 鑒權(quán)實(shí)施指導(dǎo)》。說(shuō)明：具體輸入校驗(yàn)部分請(qǐng)查看 輸入校驗(yàn)。實(shí)施指導(dǎo)：客戶端發(fā)起的 Restful 請(qǐng)求需要在消息頭帶 Authorization 字段，內(nèi)容填 Basic Base64(user:pass)，服務(wù)端對(duì) user 和 passwd 進(jìn)行認(rèn)證。說(shuō)明：鑒權(quán)就是判斷調(diào)用者是否有權(quán)限調(diào)用該 RESTful Web Service。實(shí)施指導(dǎo)：請(qǐng)參考《附件 3 客戶端 IP 鑒權(quán)實(shí)施指導(dǎo)》。說(shuō)明：具體輸入校驗(yàn)部分請(qǐng)查看 輸入校驗(yàn)。實(shí)施指導(dǎo)：修改對(duì)應(yīng)的 文件中的 debug 參數(shù)值為 false：servlet servletnamedwrinvoker/servletname servletclass/servletclass initparam paramnamedebug/paramname paramvaluefalse/paramvalue /initparam......規(guī)則 ：對(duì) DWR 接口的調(diào)用必須進(jìn)行認(rèn)證。說(shuō)明：鑒權(quán)就是判斷調(diào)用者是否有權(quán)限調(diào)用該 DWR 接口。4 Web 編程安全規(guī)范 輸入校驗(yàn)規(guī)則 ：必須對(duì)所有用戶產(chǎn)生的輸入進(jìn)行校驗(yàn)，一旦數(shù)據(jù)不合法，應(yīng)該告知用戶輸入非25 / 37法并且建議用戶糾正輸入。舉例：假如用戶資料填寫表單中的“性別”為必填項(xiàng)，用 radio button（‘ 男’和‘女’對(duì)應(yīng)實(shí)際值分別為‘1’和‘0’）來(lái)限制用戶的輸入，如果應(yīng)用程序收到的“性別”值為‘2’，那么可以斷定有人惡意篡改數(shù)據(jù)。例如，標(biāo)題頭中的 referer 字段包含來(lái)自請(qǐng)求源端的 Web 頁(yè)面的 URL。規(guī)則 ：對(duì)于在客戶端已經(jīng)做了輸入校驗(yàn)，在服務(wù)器端再次以相同的規(guī)則進(jìn)行校驗(yàn)時(shí)，一旦數(shù)據(jù)不合法，必須使會(huì)話失效，并記錄告警日志。實(shí)施指導(dǎo)：String mobileno = (mobileno)。說(shuō)明：對(duì)于一些有規(guī)則可循的輸入，如 地址、日期、小數(shù)等，使用正則表達(dá)式進(jìn)行白名單校驗(yàn)，這樣比使用黑名單進(jìn)行校驗(yàn)更有效。}規(guī)則 ：如果輸入為字符串參數(shù)則必須進(jìn)行字符型合法性判斷。 //開(kāi)發(fā)者自行定義字符規(guī)則( 方括號(hào)內(nèi)的字符集)if (! (characterPattern)){ (“Invalid Input”)。說(shuō)明：如果輸入數(shù)據(jù)是數(shù)值，必須校驗(yàn)數(shù)值的范圍是否正確，如年齡應(yīng)該為 0～150 之間的27 / 37正整數(shù)。這樣很容易被 SQL 注入攻擊。因此，多次執(zhí)行的 SQL 語(yǔ)句經(jīng)常創(chuàng)建為 PreparedStatement 對(duì)象，還可以提高效率。 (1, empid)。()。(1, %+c+%)。規(guī)則 ：禁止動(dòng)態(tài)構(gòu)建 XPath 語(yǔ)句。 and password/text()=39。說(shuō)明：property=*這表明用戶在可見(jiàn)的 JSP 頁(yè)面中輸入的，或是直接通過(guò) Query String 提交的參數(shù)值，將存儲(chǔ)到與參數(shù)名相匹配的 bean 屬性中。說(shuō)明：注意，“回車”字符有多種表示方式（CR = %0d = \r ），“換行”字符有多種表示方式（LF = %0a = \n）。|符號(hào)，非常容易構(gòu)造命令注入，危害系統(tǒng)）。 ” ’ ( )%+】為其他表示形式后再輸出給客戶端，例如：%String OutStr = 。OutStr = (,)。, )。% 語(yǔ)言可以通過(guò) HtmlEncode 方法對(duì) HTML 的輸出進(jìn)行編碼。說(shuō)明：建議對(duì)寫/上傳文件的路徑或文件名采用隨機(jī)方式生成，或?qū)? 上傳文件放置在有適當(dāng)訪問(wèn)許可的專門目錄。30 / 37說(shuō)明：Web 內(nèi)容目錄指的是：通過(guò) Web 可以直接瀏覽、訪問(wèn)的目錄，存放在 Web 內(nèi)容目錄下的文件容易被攻擊者直接下載。規(guī)則 ：應(yīng)用程序捕獲異常，并在日志中記錄詳細(xì)的錯(cuò)誤信息。規(guī)則 ：在注釋信息中禁止包含 SQL 語(yǔ)句信息。通過(guò)瀏覽器查看源碼的功能，能夠查看動(dòng)態(tài)頁(yè)面中的普通注釋信息，但看不到隱藏注釋（隱藏注釋不會(huì)發(fā)送給客戶端）。(str)。規(guī)則 ：歸檔的頁(yè)面程序文件的擴(kuò)展名必須使用小寫字母。因此，歸檔的頁(yè)面程序文件的擴(kuò)展名必須使用小寫字母，如 jsp、html、htm、asp 等頁(yè)面程序文件的擴(kuò)展名分別為 jsp、html、htm、asp。32 / 37 其他規(guī)則 ：對(duì)于 JSP 語(yǔ)言，所有 servlet 必須進(jìn)行靜態(tài)映射，不允許通過(guò)絕對(duì)路徑訪問(wèn)。攻擊者可以迫使用戶去執(zhí)行攻擊者預(yù)先設(shè)置的操作，例如，如果用戶登錄網(wǎng)絡(luò)銀行去查看其存款余額，他沒(méi)有退出網(wǎng)絡(luò)銀行系統(tǒng)就去了自己喜歡的論壇去灌水，如果攻擊者在論壇中精心構(gòu)造了一個(gè)惡意的鏈接并誘使該用戶點(diǎn)擊了該鏈接，那么該用戶在網(wǎng)絡(luò)銀行帳戶中的資金就有可能被轉(zhuǎn)移到攻擊者指定的帳戶中。if((().getAttribute(randomStr))){//處理請(qǐng)求}else{//跨站請(qǐng)求攻擊，注銷會(huì)話}方法二。實(shí)施指導(dǎo)：方法一：為每個(gè)session創(chuàng)建唯一的隨機(jī)字符串，并在受理請(qǐng)求時(shí)驗(yàn)證form action=/ method=post input type=hidden name=randomStr value=%=().getAttribute(randomStr)% ....../form//判斷客戶端提交的隨機(jī)字符串是否正確String randomStr = (String)(randomStr)。規(guī)則 ：對(duì)客戶端提交的表單請(qǐng)求進(jìn)行合法性校驗(yàn)，防止跨站請(qǐng)求偽造攻擊。說(shuō)明：這里的“調(diào)試用的代碼”是指開(kāi)發(fā)過(guò)程中進(jìn)行臨時(shí)調(diào)試所用的、在 Web 應(yīng)用運(yùn)行過(guò)程中不需要使用到的 Web 頁(yè)面代碼或 servlet 代碼。攻擊者只要在 URL 中將 JSP 文件后綴從小寫變成大寫，Web 服務(wù)器就不能正確處理這個(gè)文件后綴，而將其當(dāng)作純文本顯示。說(shuō)明：惡意用戶可以通過(guò) URL 之類的文件，Web 服務(wù)器會(huì)將這些文件以文本方式呈現(xiàn)給惡意用戶，造成代碼的泄漏，嚴(yán)重威脅 Web 應(yīng)用的安全。實(shí)施指導(dǎo)：form action=%隱藏注釋 1%textarea name=a length=200/textareainput type=submit value=test/form%//隱藏注釋 2 str=(String)(a)。規(guī)則 ：對(duì)于動(dòng)態(tài)頁(yè)面不使用普通注釋，只使用隱藏注釋。 代碼注釋規(guī)則 ：在注釋信息中禁止包含物理路徑信息。說(shuō)明：應(yīng)用程序出現(xiàn)異常時(shí)，禁止將數(shù)據(jù)庫(kù)版本、數(shù)據(jù)庫(kù)結(jié)構(gòu)、操作系統(tǒng)版本、堆棧跟蹤、文件名和路徑信息、SQL 查詢字符串等對(duì)攻擊者有用的信息返回給客戶端。防止惡意用戶構(gòu)造路徑和文件名，實(shí)施目錄跨越和不安全直接對(duì)象引用攻擊。