【正文】 2023 15 – 校驗(yàn)向用戶(hù)輸 出的數(shù)據(jù) 當(dāng)程序通過(guò)查詢(xún)后臺(tái)數(shù)據(jù)庫(kù) 或其他方式從后臺(tái)獲取數(shù)據(jù)后，在將數(shù)據(jù)輸出給用戶(hù)前應(yīng)對(duì)該數(shù)據(jù)進(jìn)行校驗(yàn)，校驗(yàn)其中是否包含有非法字符、可執(zhí)行客戶(hù)端腳本等惡意信息 。 7Safe 2023/11/10 DBAppsecurtiy 2023 16 – 使用安全、統(tǒng)一的編碼或轉(zhuǎn)義 方式 創(chuàng)建并 使用獨(dú)立、統(tǒng)一的編碼或轉(zhuǎn)移方式，而且編碼或轉(zhuǎn)移中，至少應(yīng)包含對(duì)以下類(lèi)別數(shù)據(jù)的編碼或轉(zhuǎn)移 ： ?可能造成 SQL注入的數(shù)據(jù)，如：分號(hào)、單引號(hào) 等 ?可能造成 XSS的數(shù)據(jù)，如： script、 javascript等 – 設(shè)定有安 全的權(quán)限邊界 所有的程序都應(yīng) 清楚的了解到自己能做什么，而在其所能做的范圍之外，均屬于其權(quán)限邊界之外，應(yīng)嚴(yán)格禁止對(duì)其權(quán)限之外的任何操作 。 – 確保程序所記錄的日志可 控 若程序需要記錄額外的 操作日志等信息，應(yīng)保證這些日志中的某些或全部?jī)?nèi)容不來(lái)自用戶(hù)輸入，否則用戶(hù)可能通過(guò)外部惡意提交信息的方式填充日志 。 – 安全測(cè)試目標(biāo) ? 提升產(chǎn)品安全質(zhì)量 ? 盡量在發(fā)布前兆到安全問(wèn)題予以修補(bǔ)降低成本 ? 度量 安全 – 當(dāng)前安全測(cè)試方法有 ? 模式匹配方法 ,將程序看作字符串 ? 狀態(tài)機(jī)模型 ,將程序看作狀態(tài)機(jī) ? 黑盒模型 ,將程序看作黑盒子 ? 白盒模型 ,將程序看作路徑 的組合 軟件安全開(kāi)發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 23 軟件安全開(kāi)發(fā)生命周期 – 安全自身要素 ? 安全包括了三個(gè)層 次 – 安全功能（特性） – 安全策略（部署， 配置 ， 全局設(shè)計(jì)準(zhǔn)則） – 安全 實(shí)現(xiàn) – 安全測(cè)試是對(duì)以上幾個(gè)層次的驗(yàn)證和 度量 – 外部防護(hù)系統(tǒng)是一種補(bǔ)充保護(hù) 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 27 ? 安全部署及安全響應(yīng) – 安全部署 軟件需提供相應(yīng)的文檔和工具，指導(dǎo)用戶(hù)如何安全的使用 。 7Safe 2023/11/10 DBAppsecurtiy 2023 29 ? 概述 在公開(kāi)提供的 SDL 文檔中，找不到專(zhuān)門(mén)針對(duì)如何保護(hù) Web 應(yīng)用程序或在線服務(wù)的指南。而對(duì) SOAP 服務(wù)和對(duì) Windows 服務(wù)執(zhí)行最終安全審查也同樣重要。 7Safe 2023/11/10 DBAppsecurtiy 2023 31 簡(jiǎn)介 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 33 WHAT IS AN ENTERPRISE SECURITY API? THE ESAPI FAMILY COMMUNITY BREAKDOWN 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 37 ? 下圖簡(jiǎn)單呈現(xiàn) ESAPI如何運(yùn)作 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 ?種類(lèi) 已知有三種著名跨站漏洞： 1）存儲(chǔ)式； 2）反射式； 3）基于DOM。 這可能意味著很多東西，但在典型的和簡(jiǎn)單的情況下，這意味著檢查輸入類(lèi)型和數(shù)據(jù)的長(zhǎng)度。 這里的關(guān)鍵是，一切都進(jìn)行驗(yàn)證，所有的輸入，這并不來(lái)自于應(yīng)用程序（包括用戶(hù)輸入，請(qǐng)求頭， Cookie，數(shù)據(jù)庫(kù)數(shù)據(jù) ...）。 boolean isValidFirstName = ().isValidInput(FirstName, (), FirstNameRegex, 255, false)。 這些技術(shù)定義一些特殊的“轉(zhuǎn)義”字符。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 ?實(shí)例 2——URL編碼 //performing input validation String cleanUserName = ().getValidInput(userName, (userName), userNameRegex, 50, false, errorList)。 ? 危害 注入能導(dǎo)致數(shù)據(jù)丟失或數(shù)據(jù)破壞、缺乏可審計(jì)性或是拒絕服務(wù)。 7Safe 2023/11/10 DBAppsecurtiy 2023 46 ? 解決之道 ? SQL注入實(shí)例 String sqlString = SELECT * FROM users WHERE fullname = 39。 正常： username=tony， password=123456 SELECT * FROM users WHERE username = tony39。 OR 39。 AND password = 39。 = 39。 String custname = (customerName)。 ResultSet results = ( )。 (1, custname)。 //we39。 ... //execute statement and get results 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 51 if (!().isValidFileName(upload, filename, allowedExtensions, false)) { throw new ValidationUploadException(Upload only simple filenames with the following extensions + allowedExtensions, Upload failed isValidFileName check)。 7Safe 2023/11/10 DBAppsecurtiy 2023 52 不安全的直接對(duì)象引用 ? 定義 所謂“不安全的對(duì)象直接引用”，即 Insecure direct object references，意指一個(gè)已經(jīng)授權(quán)的用戶(hù)，通過(guò)更改 訪問(wèn)時(shí)的一個(gè)參數(shù)，從而訪問(wèn)到了原本其并沒(méi)有得到授權(quán)的對(duì)象。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 ? 解決之道 ? 案例 1 使用 ESAPI的 AccessReferenceMap實(shí)現(xiàn)使用非直接的對(duì)象引用 MyObject obj。 //set indirect reference for each object requires your app object to have this method (indirectReference)。 來(lái)自不受信源所使用的所有直接對(duì)象引用都必須包含訪問(wèn)控制檢測(cè)，這樣才能確保用戶(hù)對(duì)要求的對(duì)象有訪問(wèn)權(quán)限。 XSS利用站點(diǎn)內(nèi)的信任用戶(hù)，而 CSRF則通過(guò)偽裝來(lái)自受信任用戶(hù)的請(qǐng)求來(lái)利用受信任的網(wǎng)站。 7Safe 2023/11/10 DBAppsecurtiy 2023 57 ? 解決之道 第一步，新建 CSRF令牌添加進(jìn)用戶(hù)每次登陸以及存儲(chǔ)在 session里 ， 這種令牌至少對(duì)每個(gè)用戶(hù)會(huì)話來(lái)說(shuō)應(yīng)該是唯一的，或者是對(duì)每個(gè)請(qǐng)求是唯一的。 return csrfToken。 //this code is from the DefaultHTTPUtilities implementation in ESAPI public String addCSRFToken(String href) { User user = ().getCurrentUser()。?39。 return ()。 // check if user authenticated with this request no CSRF protection required if( (()) != null ) { return。 7Safe 2023/11/10 DBAppsecurtiy 2023 60 第四步，在注銷(xiāo)和會(huì)話超時(shí)，刪除用戶(hù)對(duì)象會(huì)話和會(huì)話銷(xiāo)毀。 ()。 ().setCurrentUser()。 ? 危害 ? 泄露太多的細(xì)節(jié)（如錯(cuò)誤堆棧跟蹤信息、 SQL語(yǔ)句等等）； ? 登錄失敗后，通知用戶(hù)是否用戶(hù) ID或密碼出錯(cuò) ——登錄失敗可能是由于 ID或密碼錯(cuò) 誤造成的。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。因此特權(quán)帳戶(hù)會(huì)造成更大的破壞。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 } } catch (Exception e) { //handle exc } return isAuthenticated。 不加密的應(yīng)用程序設(shè)計(jì)不當(dāng)往往含有密碼，或者使用不恰當(dāng)?shù)拿艽a或密碼作出強(qiáng)烈的嚴(yán)重錯(cuò)誤使用。 7Safe 2023/11/10 DBAppsecurtiy 2023 66 ?使用一定的機(jī)制來(lái)進(jìn)行保護(hù) – 文件加密； – 數(shù)據(jù)庫(kù)加密； – 數(shù)據(jù)元素加密。 加密（通常 SSL）的，必須用于所有身份驗(yàn)證的連接，特別是通過(guò)Inter訪問(wèn)的網(wǎng)頁(yè)，以及后端的連接。 7Safe 2023/11/10 DBAppsecurtiy 2023 68 ?正確的使用這些機(jī)制 – 使用標(biāo)準(zhǔn)的強(qiáng)算法； – 合理管理密鑰和證書(shū)； – 在使用前驗(yàn)證 SSL證書(shū) 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 public void assertAuthorized(Object key, Object runtimeParameter) throws AccessControlException。 boolean isAuthorizedForFile(String filepath)。 void assertAuthorizedForData(String action, Object data) throws AccessControlException。 7Safe 2023/11/10 DBAppsecurtiy 2023 73 實(shí)驗(yàn) ? 現(xiàn)場(chǎng)簡(jiǎn)單 XSS防護(hù)實(shí)驗(yàn) 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 :52:5711:52Mar234Mar23 ? 1故人江海別，幾度隔山川。 。 , March 4, 2023 ? 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒(méi)有。 :52:5711:52:57March 4, 2023 ? 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 3月 4日星期六 11時(shí) 52分 57秒 11:52:574 March 2023 ? 1空山新雨后，天氣晚來(lái)秋。 :52:5711:52Mar234Mar23 ? 1越是無(wú)能的人，越喜歡挑剔別人的錯(cuò)兒。