【正文】 應(yīng)用程序與 Windows174。它本身是開(kāi)源的，同時(shí)提供 JAVA版本和 .NET版本。 當(dāng)應(yīng)用程序在發(fā)送給瀏覽器的頁(yè)面中包含用戶提供的數(shù)據(jù)，但沒(méi)有經(jīng)過(guò)適當(dāng)驗(yàn)證或 轉(zhuǎn)譯 那些內(nèi)容，這就導(dǎo)致跨站腳本漏洞 。 并非所有 的案件都如此簡(jiǎn)單，但很多是相似的。 7Safe 2023/11/10 DBAppsecurtiy 2023 42 ? 編碼輸出 對(duì)驗(yàn)證輸入的另一面就是編碼輸出。 7Safe 2023/11/10 DBAppsecurtiy 2023 44 ?實(shí)例 1——HTML實(shí)體編碼 //performing input validation String cleanComment = ().getValidInput(ment, (ment), CommentRegex, 300, false, errorList)。 ? 種類(lèi) SQL注入、 XPATH注入、 LDAP注入、 OS命令注入等。12345639。 OR 39。 PreparedStatement pstmt = ( query )。 // … result set handling } catch (SQLException se) { // … logging and error handling } 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 ? 危害 攻擊者可利用惡意文件執(zhí)行漏洞進(jìn)行攻擊取得 WEB服務(wù)器控制權(quán)，進(jìn)行不法利益或獲取經(jīng)濟(jì)利益。 我們看如下的一個(gè)示例，也許這樣就更容易理解什么是不安 全的對(duì)象直接引用。 // holds objects for display in UI //create ESAPI random access reference map AccessReferenceMap map = new RandomAccessReferenceMap()。 7Safe 2023/11/10 DBAppsecurtiy 2023 56 跨站點(diǎn)請(qǐng)求偽造（ CSRF） ? 定義 跨站請(qǐng)求偽造，也被稱成為“ one click attack” 或者 session riding，通常縮寫(xiě)為 CSRF或者 XSRF，是一種對(duì)網(wǎng)站的惡意利用。s CSRF token. */ private String csrfToken = resetCSRFToken()。 } // if there are already parameters append with , otherwise append with ? String token = CSRF_TOKEN_NAME + = + ()。 7Safe 2023/11/10 DBAppsecurtiy 2023 59 第三步，在服務(wù)器端檢查提交令牌與用戶會(huì)話對(duì)象令牌是否匹配。 HttpSession session = ().getSession(false)。 7Safe 2023/11/10 DBAppsecurtiy 2023 61 信息泄露和錯(cuò)誤處理不當(dāng) ? 定義 應(yīng)用程序常常產(chǎn)生錯(cuò)誤信息并顯示給使用者。 ? 危害 這些漏洞可能導(dǎo)致部分甚至全部帳戶遭受攻擊。T USE public boolean login(String username, String password) { boolean isAuthenticated = true。 ? 危害 ? 攻擊者能夠取得或是篡改機(jī)密的或是私有的信息； ? 攻擊者通過(guò)這些秘密的竊取從而進(jìn)行進(jìn)一步的攻擊； ? 造成企業(yè)形象破損，用戶滿意度下降，甚至?xí)蟹稍V訟等。 ? 危害 ? 攻擊者能夠取得或是篡改機(jī)密的或是私有的信息； ? 攻擊者通過(guò)這些秘密的竊取從而進(jìn)行進(jìn)一步的攻擊； ? 造成企業(yè)形象破損，用戶滿意度下降，甚至?xí)蟹稍V訟等。 7Safe 2023/11/10 DBAppsecurtiy 2023 71 ? 解決之道 ? 對(duì)每個(gè) URL，我們必須做三件事 – 如果這個(gè) URL不是公開(kāi)的，那么必須限制能夠訪問(wèn)他的授權(quán)用戶； – 加強(qiáng)基于用戶或角色的訪問(wèn)控制； – 完全禁止訪問(wèn)未被授權(quán)的頁(yè)面類(lèi)型（如配置文件、日志文件、源文件等） ? 驗(yàn)證你的構(gòu)架 – 在每一個(gè)層次都使用簡(jiǎn)單肯定的模型； – 確保每一層都有一個(gè)訪問(wèn)機(jī)制 ? 驗(yàn)證你的實(shí)現(xiàn) – 不要使用自動(dòng)化的分析工具； – 確保每個(gè) URL都被外部過(guò)濾器或其他機(jī)制保護(hù)； – 確保服務(wù)器的配置不允許對(duì)非授權(quán)頁(yè)面的訪問(wèn) 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 void assertAuthorizedForURL(String url) throws AccessControlException。 , March 4, 2023 ? 雨中黃葉樹(shù)，燈下白頭人。 2023年 3月 4日星期六 11時(shí) 52分 57秒 11:52:574 March 2023 ? 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。 。勝人者有力，自勝者強(qiáng)。 , March 4, 2023 ? 閱讀一切好書(shū)如同和過(guò)去最杰出的人談話。 :52:5711:52Mar234Mar23 ? 1世間成事，不求其絕對(duì)圓滿，留一份不足，可得無(wú)限完美。 :52:5711:52:57March 4, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國(guó)見(jiàn)青山。 void assertAuthorizedForService(String serviceName) throws AccessControlException。 boolean isAuthorizedForFunction(String functionName)。常見(jiàn)的錯(cuò)誤是，我們?cè)谟脩粽J(rèn)證后只顯示給用戶認(rèn)證過(guò)的頁(yè)面和菜單選項(xiàng)，而實(shí)際上這些僅僅是表示層的訪問(wèn)控制而不能真正生效，攻擊者能夠很容易的就偽造請(qǐng)求直接訪問(wèn)未被授權(quán)的頁(yè)面。 ?驗(yàn)證實(shí)現(xiàn)方法 – 確保使用了標(biāo)準(zhǔn)的強(qiáng)算法； – 確保所有的證書(shū)、密鑰和密碼都得到了安全的存放； – 有一個(gè)安全的密鑰分發(fā)和應(yīng)急處理的方案； 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 65 不安全的加密儲(chǔ)存 ? 定義 保護(hù)與加密敏感數(shù)據(jù)已經(jīng)成為網(wǎng)絡(luò)應(yīng)用的最重要的組成部分。 ? 通過(guò)認(rèn)證的問(wèn)候： – 使用單一的入口點(diǎn)。 ? 解決之道 ? 案例 1 通過(guò) errorpage exceptiontype/exceptiontype location//location /errorpage 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 loggedIn = false。 if ( !().equals( token ) ) { throw new IntrusionException(Authentication failed, Possibly fed HTTP request without proper CSRF token detected)。 } ... public String getCSRFToken() { User user = ().getCurrentUser()。 7Safe 2023/11/10 DBAppsecurtiy 2023 58 第二步，令牌同樣可以包含在 URL中或作為一個(gè) URL參數(shù)標(biāo)記 /隱藏字段。 ? 危害 攻擊者能讓受害用戶修改可以修改的任何數(shù)據(jù)，或者是執(zhí)行允許使用的任何功能 。 //store collection in request/session and forward to UI ... 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 54 ? 危害 這種漏洞能損害參數(shù)所引用的所有數(shù)據(jù)。 (maxBytes)。 + ().encodeForSQL( ORACLE_CODEC, validatedStartDate) +39。 7Safe 2023/11/10 DBAppsecurtiy 2023 48 String custname = (customerName)。 ? 參數(shù)化查詢預(yù)處理 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 = 39。 AND password = 39。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 編碼輸出只是讓瀏覽器知道數(shù)據(jù)是不是要被解析，達(dá)到攻擊無(wú)法實(shí)現(xiàn)的目的。 7Safe 2023/11/10 DBAppsecurtiy 2023 40 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 35 OWASP WHAT IS AN ENTERPRISE SECURITY API? OWASP ESAPI PROJECT SCORECARD Authentication Identity Access Control Input Validation Output Escaping Canonicalization Encryption Random Numbers Exception Handling Logging Intrusion Detection Security Configuration WAF 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 基于 WEB應(yīng)用程序的 SDL 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。因此，需要事先制訂對(duì)應(yīng)的相應(yīng)模式，包括： ? （內(nèi)部或外部發(fā)現(xiàn)的）安全漏洞以何種途徑匯報(bào) ? 如何評(píng)估安全漏洞的嚴(yán)重級(jí)別 ? 開(kāi)發(fā)安全補(bǔ)丁的流程 ? 測(cè)試安全補(bǔ)丁的流程 ? 發(fā)布安全補(bǔ)丁的流程 ? 如何在以后開(kāi)發(fā)中避免類(lèi)似的安全漏洞，等等 軟件安全開(kāi)發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 21 ? 安全測(cè)試 – 假設(shè)條件 ? 測(cè)試：導(dǎo)致問(wèn)題的數(shù)據(jù)是用戶不小心構(gòu)成的 (只考慮提供給用戶的界面） ? 安全測(cè)試：導(dǎo)致問(wèn)題的數(shù)據(jù)是攻擊者處心積慮構(gòu)成的（考慮所有攻擊界面，包括可污染 /滲透?jìng)鬟f的界面） – 思考域 ? 測(cè)試：功能本身 ? 安全測(cè)試：功能，系統(tǒng)機(jī)制，外部環(huán)境，應(yīng)用與數(shù)據(jù)自身安全風(fēng)險(xiǎn)與安全屬性 – 問(wèn)題發(fā)現(xiàn)模式 ? 測(cè)試：違反功能定義的輸出 ? 安全測(cè)試：違反權(quán)限，能力與約束 – 黑盒：狀態(tài)或行為異常 – 灰盒：未完備的約束檢測(cè) – 靜態(tài)白盒：基于