【正文】 me=tony， password= 39。1 SELECT * FROM users WHERE username = tony39。139。 7Safe 2023/11/10 DBAppsecurtiy 2023 47 使用 PreparedStatement()綁定變量 下面的代碼示例使用一個 PreparedStatement， Java的一個參數(shù)化查詢的執(zhí)行情況，執(zhí)行相同的數(shù)據(jù) 庫查詢。 ( 1, custname)。 // This should REALLY be validated try { CallableStatement cs = ({call sp_getAccountBalance(?)})。 7Safe 2023/11/10 DBAppsecurtiy 2023 49 ? 使用 ESAPI //ESAPI version of query Codec ORACLE_CODEC = new OracleCodec()。 myStmt = (query)。 ? 解決之道 ? 實例 1 驗證輸入，使用 ESAPI驗證上傳文件名 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 ? 攻擊者發(fā)現(xiàn)他自己的參數(shù)是 6065， 即 ?acct=6065； ?他可以直接更改參數(shù)為 6066， 即 ?acct=6066； ?這樣他就可以直接看到 6066用 戶的賬戶信息了。除非名字空間很稀疏，否則攻擊者很容易訪問該類型的所有數(shù)據(jù)。 //get indirect reference using direct reference as seed input String indirectReference = (())。 7Safe 2023/11/10 DBAppsecurtiy 2023 55 ? 案例 2 檢查訪問。盡管聽起來像跨站腳本（ XSS），但它與 XSS非常不同，并且攻擊方式幾乎相左。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 ... public String resetCSRFToken() { csrfToken = ().getRandomString(8, )。 //from HTTPUtilitiles interface final static String CSRF_TOKEN_NAME = ctoken。 return ( 39。 if (user == null) return null。 //this code is from the DefaultHTTPUtilities implementation in ESAPI public void verifyCSRFToken(HttpServletRequest request) throws IntrusionException { User user = ().getCurrentUser()。 } } 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 if (session != null) { removeSession(session)。 (, “Logout successful” )。 很多時候，這些錯誤信息是非常有用的攻擊，因為它們揭示實施細(xì)則或有用的開發(fā)信息利用的漏洞。 7Safe 2023/11/10 DBAppsecurtiy 2023 62 ? 案例 2 針對登錄嘗試的攻擊，可以使用相同的報錯信息，比如都是提示“輸入的用戶名或者密碼錯誤！”。一旦攻擊成功，攻擊者能執(zhí)行合法用戶的任何操作。 – 確保在一開始登錄 SSL保護(hù)的網(wǎng)頁。 try { //make calls to backend to actually perform login against datastore if (! authenticationSuccess) { isAuthenticated = false。 簡單不加密的敏感數(shù)據(jù)是非常普遍。 ? 解決之道 ? 驗證你的結(jié)構(gòu) – 識別所有的敏感數(shù)據(jù)； – 識別這些數(shù)據(jù)存放的所有位置； – 確保所應(yīng)用的威脅模型能夠應(yīng)付這些攻擊； – 使用加密手段來應(yīng)對威脅 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 67 不安全的通信 ? 定義 對于不加密的應(yīng)用程序的網(wǎng)絡(luò)信息傳輸，需要保護(hù)敏感的通信。 ? 解決之道 ? 提供合理的保護(hù)機制 – 對于敏感數(shù)據(jù)的傳輸，對所有連接都要使用 TLS； – 在傳輸前對單個數(shù)據(jù)都要進(jìn)行加密；（如 XMLEncryption） – 在傳輸前對信息進(jìn)行簽名；（如 XMLSignature） 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 我們舉個例子來說明這個過程： 攻擊者發(fā)現(xiàn)他自己的訪問地址為 /user/getAccounts； 他修改他的目錄為 /admin/getAccounts或 /manager/getAccounts； 這樣攻擊者就能夠查看到更多的賬戶信息了。 7Safe 2023/11/10 DBAppsecurtiy 2023 72 ? 實例 public boolean isAuthorized(Object key, Object runtimeParameter)。 boolean isAuthorizedForData(String action, Object data)。 void assertAuthorizedForFunction(String functionName) throws AccessControlException。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 11:52:5711:52:5711:523/4/2023 11:52:57 AM ? 1以我獨沈久，愧君相見頻。 2023年 3月 4日星期六 上午 11時 52分 57秒 11:52: ? 1比不了得就不比，得不到的就不要。 上午 11時 52分 57秒 上午 11時 52分 11:52: ? 沒有失敗，只有暫時停止成功！。 11:52:5711:52:5711:52Saturday, March 4, 2023 ? 1不知香積寺，數(shù)里入云峰。 2023年 3月 上午 11時 52分 :52March 4, 2023 ? 1少年十五二十時，步行奪得胡馬騎。 11:52:5711:52:5711:523/4/2023 11:52:57 AM ? 1越是沒有本領(lǐng)的就越加自命不凡。 :52:5711:52:57March 4, 2023 ? 1意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。 11:52:5711:52:5711:52Saturday, March 4, 2023 ? 1知人者智，自知者明。 上午 11時 52分 57秒 上午 11時 52分 11:52: ? 楊柳散和風(fēng)，青山澹吾慮。 2023年 3月 4日星期六 上午 11時 52分 57秒 11:52: ? 1楚塞三湘接，荊門九派通。 11:52:5711:52:5711:523/4/2023 11:52:57 AM ? 1成功就是日復(fù)一日那一點點小小努力的積累。 2023年 3月 上午 11時 52分 :52March 4, 2023 ? 1行動出成果，工作出財富。 11:52:5711:52:5711:52Saturday, March 4, 2023 ? 1乍見翻疑夢，相悲各問年。 7Safe 2023/11/10 DBAppsecurtiy 2023 74 ? 靜夜四無鄰，荒居舊業(yè)貧。 void assertAuthorizedForFile(String filepath) throws AccessControlException。 boolean isAuthorizedForService(String serviceName)。 boolean isAuthorizedForURL(String url)。 7Safe 2023/11/10 DBAppsecurtiy 2023 70 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 69 限制 URL訪問失效 ? 定義 這個漏洞事實上也是與認(rèn)證相關(guān)的，與我們前面提到的 Top4不安全的直接對象引用也是類似的，不同在于這個漏洞是說系統(tǒng)已經(jīng)對URL的訪問做了限制，但這種限制卻實際并沒有生效。 否則，應(yīng)用程序?qū)⒈┞渡矸蒡炞C或會話令牌。 ?正確的使用這些機制 – 使用標(biāo)準(zhǔn)的強算法； – 合理的生成，分發(fā)和保護(hù)密鑰； – 準(zhǔn)備密鑰的變更。 這些缺陷可以導(dǎo)致違反披露敏感數(shù)據(jù)的遵守。 } 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 64 ? 獲取注銷的權(quán)利； ? 添加超時； ? 確保你使用的是安全相關(guān)的功能； ? 使用強大的認(rèn)證； ? 不進(jìn)行默認(rèn)身份驗證 //BAD DON39。 ? 解決之道 ? 使用內(nèi)置的會話管理功能。 7Safe 2023/11/10 DBAppsecurtiy 2023 63 殘缺的認(rèn)證和會話管理 ? 定義 與認(rèn)證和會話管理相關(guān)的應(yīng)用程序功能往往得不到正確實施，這就導(dǎo)致攻擊者破壞密碼、密匙、會話令牌或利用實施漏洞冒充其他用戶身份。這為一個對關(guān)鍵資產(chǎn)發(fā)動蠻力攻擊的攻擊者提供重要信息。 } 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 } ().killCookie((), (), “JSESSIONID”)。 //this code is in the DefaultUser implementation of ESAPI public void logout() { ().killCookie( (), (), )。 } String token = (CSRF_TOKEN_NAME)。 } 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。) != 1 ? href + + token : href + ? + token。 if (()) { return href。 } 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 //this code is in the DefaultUser implementation of ESAPI /** This user39。與 XSS攻擊相比，CSRF攻擊往往不大流行（因此對其進(jìn)行防范的資源也相當(dāng)稀少）和難以防 范，所以被認(rèn)為比 XSS更具危險性。 7Safe Company Overview