【正文】 me=tony， password= 39。1 SELECT * FROM users WHERE username = tony39。139。 7Safe 2023/11/10 DBAppsecurtiy 2023 47 使用 PreparedStatement()綁定變量 下面的代碼示例使用一個(gè) PreparedStatement， Java的一個(gè)參數(shù)化查詢的執(zhí)行情況，執(zhí)行相同的數(shù)據(jù) 庫(kù)查詢。 ( 1, custname)。 // This should REALLY be validated try { CallableStatement cs = ({call sp_getAccountBalance(?)})。 7Safe 2023/11/10 DBAppsecurtiy 2023 49 ? 使用 ESAPI //ESAPI version of query Codec ORACLE_CODEC = new OracleCodec()。 myStmt = (query)。 ? 解決之道 ? 實(shí)例 1 驗(yàn)證輸入，使用 ESAPI驗(yàn)證上傳文件名 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 ? 攻擊者發(fā)現(xiàn)他自己的參數(shù)是 6065， 即 ?acct=6065； ?他可以直接更改參數(shù)為 6066， 即 ?acct=6066； ?這樣他就可以直接看到 6066用 戶的賬戶信息了。除非名字空間很稀疏，否則攻擊者很容易訪問(wèn)該類(lèi)型的所有數(shù)據(jù)。 //get indirect reference using direct reference as seed input String indirectReference = (())。 7Safe 2023/11/10 DBAppsecurtiy 2023 55 ? 案例 2 檢查訪問(wèn)。盡管聽(tīng)起來(lái)像跨站腳本（ XSS），但它與 XSS非常不同，并且攻擊方式幾乎相左。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 ... public String resetCSRFToken() { csrfToken = ().getRandomString(8, )。 //from HTTPUtilitiles interface final static String CSRF_TOKEN_NAME = ctoken。 return ( 39。 if (user == null) return null。 //this code is from the DefaultHTTPUtilities implementation in ESAPI public void verifyCSRFToken(HttpServletRequest request) throws IntrusionException { User user = ().getCurrentUser()。 } } 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 if (session != null) { removeSession(session)。 (, “Logout successful” )。 很多時(shí)候，這些錯(cuò)誤信息是非常有用的攻擊，因?yàn)樗鼈兘沂緦?shí)施細(xì)則或有用的開(kāi)發(fā)信息利用的漏洞。 7Safe 2023/11/10 DBAppsecurtiy 2023 62 ? 案例 2 針對(duì)登錄嘗試的攻擊，可以使用相同的報(bào)錯(cuò)信息，比如都是提示“輸入的用戶名或者密碼錯(cuò)誤！”。一旦攻擊成功，攻擊者能執(zhí)行合法用戶的任何操作。 – 確保在一開(kāi)始登錄 SSL保護(hù)的網(wǎng)頁(yè)。 try { //make calls to backend to actually perform login against datastore if (! authenticationSuccess) { isAuthenticated = false。 簡(jiǎn)單不加密的敏感數(shù)據(jù)是非常普遍。 ? 解決之道 ? 驗(yàn)證你的結(jié)構(gòu) – 識(shí)別所有的敏感數(shù)據(jù)； – 識(shí)別這些數(shù)據(jù)存放的所有位置； – 確保所應(yīng)用的威脅模型能夠應(yīng)付這些攻擊； – 使用加密手段來(lái)應(yīng)對(duì)威脅 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 67 不安全的通信 ? 定義 對(duì)于不加密的應(yīng)用程序的網(wǎng)絡(luò)信息傳輸，需要保護(hù)敏感的通信。 ? 解決之道 ? 提供合理的保護(hù)機(jī)制 – 對(duì)于敏感數(shù)據(jù)的傳輸，對(duì)所有連接都要使用 TLS； – 在傳輸前對(duì)單個(gè)數(shù)據(jù)都要進(jìn)行加密；（如 XMLEncryption） – 在傳輸前對(duì)信息進(jìn)行簽名；（如 XMLSignature） 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 我們舉個(gè)例子來(lái)說(shuō)明這個(gè)過(guò)程： 攻擊者發(fā)現(xiàn)他自己的訪問(wèn)地址為 /user/getAccounts； 他修改他的目錄為 /admin/getAccounts或 /manager/getAccounts； 這樣攻擊者就能夠查看到更多的賬戶信息了。 7Safe 2023/11/10 DBAppsecurtiy 2023 72 ? 實(shí)例 public boolean isAuthorized(Object key, Object runtimeParameter)。 boolean isAuthorizedForData(String action, Object data)。 void assertAuthorizedForFunction(String functionName) throws AccessControlException。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 11:52:5711:52:5711:523/4/2023 11:52:57 AM ? 1以我獨(dú)沈久，愧君相見(jiàn)頻。 2023年 3月 4日星期六 上午 11時(shí) 52分 57秒 11:52: ? 1比不了得就不比，得不到的就不要。 上午 11時(shí) 52分 57秒 上午 11時(shí) 52分 11:52: ? 沒(méi)有失敗，只有暫時(shí)停止成功！。 11:52:5711:52:5711:52Saturday, March 4, 2023 ? 1不知香積寺，數(shù)里入云峰。 2023年 3月 上午 11時(shí) 52分 :52March 4, 2023 ? 1少年十五二十時(shí)，步行奪得胡馬騎。 11:52:5711:52:5711:523/4/2023 11:52:57 AM ? 1越是沒(méi)有本領(lǐng)的就越加自命不凡。 :52:5711:52:57March 4, 2023 ? 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 11:52:5711:52:5711:52Saturday, March 4, 2023 ? 1知人者智，自知者明。 上午 11時(shí) 52分 57秒 上午 11時(shí) 52分 11:52: ? 楊柳散和風(fēng)，青山澹吾慮。 2023年 3月 4日星期六 上午 11時(shí) 52分 57秒 11:52: ? 1楚塞三湘接，荊門(mén)九派通。 11:52:5711:52:5711:523/4/2023 11:52:57 AM ? 1成功就是日復(fù)一日那一點(diǎn)點(diǎn)小小努力的積累。 2023年 3月 上午 11時(shí) 52分 :52March 4, 2023 ? 1行動(dòng)出成果，工作出財(cái)富。 11:52:5711:52:5711:52Saturday, March 4, 2023 ? 1乍見(jiàn)翻疑夢(mèng)，相悲各問(wèn)年。 7Safe 2023/11/10 DBAppsecurtiy 2023 74 ? 靜夜四無(wú)鄰，荒居舊業(yè)貧。 void assertAuthorizedForFile(String filepath) throws AccessControlException。 boolean isAuthorizedForService(String serviceName)。 boolean isAuthorizedForURL(String url)。 7Safe 2023/11/10 DBAppsecurtiy 2023 70 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 69 限制 URL訪問(wèn)失效 ? 定義 這個(gè)漏洞事實(shí)上也是與認(rèn)證相關(guān)的，與我們前面提到的 Top4不安全的直接對(duì)象引用也是類(lèi)似的，不同在于這個(gè)漏洞是說(shuō)系統(tǒng)已經(jīng)對(duì)URL的訪問(wèn)做了限制，但這種限制卻實(shí)際并沒(méi)有生效。 否則，應(yīng)用程序?qū)⒈┞渡矸蒡?yàn)證或會(huì)話令牌。 ?正確的使用這些機(jī)制 – 使用標(biāo)準(zhǔn)的強(qiáng)算法； – 合理的生成，分發(fā)和保護(hù)密鑰； – 準(zhǔn)備密鑰的變更。 這些缺陷可以導(dǎo)致違反披露敏感數(shù)據(jù)的遵守。 } 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 64 ? 獲取注銷(xiāo)的權(quán)利； ? 添加超時(shí)； ? 確保你使用的是安全相關(guān)的功能； ? 使用強(qiáng)大的認(rèn)證； ? 不進(jìn)行默認(rèn)身份驗(yàn)證 //BAD DON39。 ? 解決之道 ? 使用內(nèi)置的會(huì)話管理功能。 7Safe 2023/11/10 DBAppsecurtiy 2023 63 殘缺的認(rèn)證和會(huì)話管理 ? 定義 與認(rèn)證和會(huì)話管理相關(guān)的應(yīng)用程序功能往往得不到正確實(shí)施，這就導(dǎo)致攻擊者破壞密碼、密匙、會(huì)話令牌或利用實(shí)施漏洞冒充其他用戶身份。這為一個(gè)對(duì)關(guān)鍵資產(chǎn)發(fā)動(dòng)蠻力攻擊的攻擊者提供重要信息。 } 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 } ().killCookie((), (), “JSESSIONID”)。 //this code is in the DefaultUser implementation of ESAPI public void logout() { ().killCookie( (), (), )。 } String token = (CSRF_TOKEN_NAME)。 } 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。) != 1 ? href + + token : href + ? + token。 if (()) { return href。 } 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 //this code is in the DefaultUser implementation of ESAPI /** This user39。與 XSS攻擊相比，CSRF攻擊往往不大流行（因此對(duì)其進(jìn)行防范的資源也相當(dāng)稀少）和難以防 范，所以被認(rèn)為比 XSS更具危險(xiǎn)性。 7Safe Company Overview