【正文】 構(gòu)造提交表單： form action=x method=POST input type=text name=path/ input type=submit / /form 圖 2 可以看出，系統(tǒng)沒有對(duì) “..” 進(jìn)行進(jìn)濾，于是就造成了這個(gè)漏洞。 + GroupId +39。 + GroupId +39。 說明 : 執(zhí)行當(dāng)前 Web 請(qǐng)求期間，出現(xiàn)未處理的異常。84 行 ErrMsg=(NameLen).text ErrMsg=Replace(ErrMsg,{$MaxLen},MaxLen) ErrMsg=Replace(ErrMsg,{$MiniLen},MiniLen) Call (0,ErrMsg) else if Instr(UserName,chr(32))0 or Instr(UserName,)0 or Instr(UserName,chr(34))0 or Instr(UserName,chr(9))0 or Instr(UserName, )0 then Call (0,(NameChar).text) end if end If 只對(duì)用戶名進(jìn)行長(zhǎng)度檢查，和檢查 chr(32) 空格 , chr(34) chr(9) tab 但沒對(duì) chr(39) ‘ 進(jìn)行過濾 ,而程序很多地方調(diào)用到用戶名，造成多處 SQL注入漏洞。 error 可選的元素。然后，該授權(quán)模塊根據(jù)找到的第一個(gè)訪問規(guī)則是 allow 還是 deny 規(guī)則來允許或拒絕對(duì) URL 資源的訪問。 防御手段：安全入口盡量進(jìn) 行模糊提示 保護(hù)級(jí)別： ★★★ 描述： 對(duì)于用戶登陸的地方，在驗(yàn)證時(shí)盡量模糊提示。 優(yōu)點(diǎn)：多重密碼保護(hù)系統(tǒng)。 應(yīng)用舉例： 動(dòng)易 SiteFactory 系統(tǒng)中，對(duì)于緩存的命名很有講究： CK_System_Int_緩存內(nèi)容 CK_System_String_緩存內(nèi)容 CK_CommonModel_Int_緩存內(nèi)容 CK_CommonModel_String_緩存內(nèi)容 CK_Contents_NodeList_ALL CK_CommonModel_ModelInfo_ModelId_5 緩存都分有特殊的前輟，防止緩存欺騙。文件下載頻道要注意下載文件類 型的檢查，防止輸入 “ \..\ ” 形式的地址，以下載本站源文件。 應(yīng)用舉例： 動(dòng)易 SiteFactory 系統(tǒng)中，可以通過 的noCheckUrlReferrer 配置，設(shè)定可以直接訪問的頁面。當(dāng)攻擊者創(chuàng)建視圖狀態(tài)時(shí)，常 將 ViewStateUserKey 屬性初始化為自己的用戶名。如：給自己提升權(quán)限，增加管理員等。 優(yōu)點(diǎn)：支持 HTML，有效防止 大部份攻擊代碼。 優(yōu)點(diǎn)：安全可靠。 防御手段二： 限定 URL 傳遞參數(shù)的數(shù)據(jù)類型和范圍 保護(hù)級(jí)別： ★★★ 描述： 限定 URL 的傳遞參數(shù)類型、數(shù)量、范圍等來防止通過構(gòu)造 URL 進(jìn)行惡意攻擊。39。 Parameters parms = new Parameters(UserName, , userName)。xss39。 對(duì)于 xml 數(shù)據(jù)的輸出，要確保數(shù)據(jù)中是否有 XML 不允許的字符，要對(duì)特殊字符進(jìn)行轉(zhuǎn)換才能輸出。 優(yōu)點(diǎn)：可靠性高。 二、 輸出編碼 1. 輸出的種類 輸出編碼是轉(zhuǎn)換輸入數(shù)據(jù)為輸出格式的過程序，輸出格式不包含，或者只是有選擇性的包含允許的特殊字符。 缺點(diǎn)：函數(shù)設(shè)計(jì)考濾煩多，容易忘記需要過濾的內(nèi)容。函數(shù)： PELabelEncode(string value)， PELabelDecode(string value)。 缺點(diǎn)： 驗(yàn)證不完整，有些驗(yàn)證用戶可以繞過。B/S 開發(fā) 安全開發(fā)手冊(cè) 目錄 一、 輸入驗(yàn)證 3 1. 什么是輸入 3 2. 輸入驗(yàn)證的必要性 3 3. 輸入驗(yàn)證技術(shù) 3 主要防御方式 3 輔助防御方式 5 二、 輸出編碼 8 1. 輸出的種類 8 2. 輸出編碼的必要性 8 3. 輸出編碼 8 4. 常用測(cè)試輸出方法 11 三、 防止 SQL注入 12 1. 什么是 SQL注入 12 2. SQL注入的種類 12 3. 如何防止 SQL注入 12 SQL 注入產(chǎn)生的原因 12 12 輔助防御方式 15 四、 跨站腳本攻擊 17 1. 什么是跨站腳本攻擊 17 2. 跨站腳本攻擊的危害 17 3. 如何防止跨站腳本攻擊 17 主要防御方式 17 輔助防御方式 18 4． XSS漏洞另一個(gè)攻擊趨勢(shì) 19 五、 跨站請(qǐng)求偽造 21 1. 什么是跨站請(qǐng)求偽造 21 2. 跨站請(qǐng)求偽造的危害 21 3. 如何防止跨站請(qǐng)求偽造 21 21 3． 2 輔助防御方式 23 六、 越權(quán)操作 24 1. 什么是越權(quán)操作 24 2. 越權(quán)操作的危害 24 3. 如何防止越權(quán)操作 24 七、 IO操作安全 25 八、 緩存泄漏 26 26 26 九、 系統(tǒng)加密 27 1. 主要防御方式 27 十、 信息泄露 29 十一、 日志和監(jiān)測(cè) 31 十二、 的安全配置 32 32 節(jié)點(diǎn) 32 節(jié)點(diǎn) 32 節(jié)點(diǎn) 33 十三、 綜合實(shí)例講解 34 參考資料 40 一、 輸入驗(yàn)證 1. 什么是輸入 輸入是編譯時(shí)以外的全部數(shù)據(jù)交換。 應(yīng)用舉例： 動(dòng)易 SiteFactory 系統(tǒng)中 ,除了使用 VS自帶的驗(yàn)證控件外 ,還擴(kuò)展了和增 加了部份驗(yàn)證控件 ,在 命名空間下，可以看到擴(kuò)展的 RequiredFieldValidator 控件，郵箱驗(yàn)證控件 EmailValidator 等。又如：系統(tǒng)的過濾函數(shù) RemoveXSS 也是黑名單的一種利用。 應(yīng)用舉例： 動(dòng)易 SiteFactory 系統(tǒng)中，有多處使用過濾方法，這些過濾函數(shù)一般是放在命名空間 下的 DataSecurity 類和StringHelper 類。 輸出的種類有： 1）支持 HTML 代碼的輸出 2）不支技 HTML 代碼的輸出 3） URL 的輸出 4）頁面內(nèi)容的輸出（ Keywords、 Description 等） 5） js 腳本的輸出 6） style 樣式的輸出 7） xml 數(shù)據(jù)的輸出 8）服務(wù)控件的輸出 2. 輸出編碼的必要性 輸出編碼能有效地防止 HTML 注入（跨站腳本 XSS 攻擊）等，也能確保輸出內(nèi)容的完整性和正確性。 缺點(diǎn)：應(yīng)用范圍少。目前系統(tǒng)中還存在一些地方存在這樣的問題。) /a a=39。 中有一個(gè)參數(shù) UserName, 使用 Prarmeter 對(duì)象，通過它把參數(shù)添加到 Command對(duì)象上，這樣就獲得參數(shù)化查詢。)。參見 MSDN 雜志 優(yōu)點(diǎn)：在一定的程序上有效地防 止通過 URL 方式的注入。 缺點(diǎn)：不支持 HTML 代碼。 缺點(diǎn)：可能存在過濾不全的情況?？梢酝ㄟ^網(wǎng)上的一個(gè)案例說明這種攻擊的危害： Bob 在自己的電腦上剛剛查看完自己的銀行 A賬戶余額，然后比較無聊就跑到一個(gè)公開的 BBS上灌水，當(dāng)他看到一篇 “ 銀行 A的內(nèi)部照片 ” 的帖子，很有興趣的 打開這個(gè)帖子想看看自己信任的銀行 A 的內(nèi)部圖片是啥樣子的，殊不知，這其實(shí)是一個(gè) attacker 精心設(shè)計(jì)的騙局。當(dāng)用戶向服務(wù)器提交頁面時(shí)，便使用攻擊者的用戶名對(duì)該頁進(jìn)行初始化。新增功能或者新增頁面需要根據(jù)情況配置 Config\ 文件。瀏覽文件時(shí)注意允許瀏覽文件的路徑，是否允許用戶輸入，如果允許，還需要過濾 “..” 等危險(xiǎn)字符，特別注意名件重命名的 地方，重命名時(shí)最好不要讓用戶更改文件后輟的權(quán)限。 九、 系統(tǒng)加密 系統(tǒng)的信息加密對(duì)系統(tǒng)的安全性非常重要，做好系統(tǒng)的加 密工作，有利于確保整個(gè)系統(tǒng)的安全。 應(yīng)用舉例： 動(dòng)易 SiteFactory 系統(tǒng)中，后臺(tái)管理認(rèn)證碼就是這一個(gè)應(yīng)用，即使非法用戶有數(shù)據(jù)庫操作權(quán)限，不知道后臺(tái)管理認(rèn)證碼也是不能進(jìn)入系 統(tǒng)后臺(tái)的 ,這大大增強(qiáng)了系統(tǒng)的安全性。如：當(dāng)?shù)顷懗鲥e(cuò)時(shí)都一致提示（用戶名或密碼不正確?。┠苡行г黾用艽a暴破的難度。默認(rèn)的授權(quán)規(guī)則為 allow users=*/。指定給定 HTTP 狀態(tài)代碼的自定義錯(cuò)誤頁。 解決方法：加強(qiáng)輸入驗(yàn)證，過濾重要字符。請(qǐng)檢查堆棧跟蹤信息，以了解有關(guān)該錯(cuò)誤以及代碼中 導(dǎo)致錯(cuò)誤的出處的詳細(xì)信息。 Where UserID in (39。 Where UserId between 39。 解決方法：過濾 “..” 。 實(shí)例 6: 風(fēng)訊任意文件瀏覽漏洞 漏洞文件： 如圖： 圖 1 查看源碼： string Path = + [Path]。Update PE_Users set GroupID= 39。Update PE_Users set GroupID= 39。 附近有語法錯(cuò)誤。 Sub Reg_Post() ‘46 行 開始 if NameLen MaxLen or NameLen MiniLen then 39。 默認(rèn)值為 RemoteOnly。 users=* 是指任何用戶 users=? 是指經(jīng)身份驗(yàn)證的用戶 注意 : 運(yùn)行時(shí)，授權(quán)模塊從最本地的配置文件開始，循環(huán)訪問 allow 和 deny 元素，直到它找到適合特定用戶帳戶的第一個(gè)訪問規(guī)則。 優(yōu)點(diǎn)：友好提示，隱藏出錯(cuò)信息。大大增強(qiáng)系統(tǒng)的安全性。緩存命名的前輟要分好類別，重要數(shù)據(jù)緩存要 用特殊命名。特別對(duì)于模 板操作，文件夾的建立，建立前檢查文件夾名和文件名是否合法，注意建立這樣 的文件夾（ win2021 文件夾漏洞）。 缺點(diǎn)：不完全安全，以另一種方式可達(dá)到目的。通常，它是用戶名或標(biāo)識(shí)符。 2. 跨站請(qǐng)求偽造的危害 不要低估了 CSRF 危害性和攻擊能力！可以說，跨站請(qǐng)求偽造是跨站腳本攻擊的一種深入利用，它的危害性更大。建立自己的 XSS 攻擊庫，方便測(cè)試和收集新的攻擊方式，使過濾函數(shù)更加完善。如： 等方法編碼輸出。 應(yīng)用舉例： 動(dòng)易 SiteFactory 系統(tǒng)中，對(duì)于不能使用參數(shù)化查詢的部份，我們使用過濾函數(shù)處理，過濾函數(shù)在命名空間 中的DataSecurity 類下，如： FilterBadChar 函數(shù)。, 39。 例如 : const string strSql = SELECT * FROM [PE_Users] WHERE UserName = UserName。 onmouseover=alert(39。 對(duì)于 style 樣式的輸出，要確保樣式的正確性，目前系統(tǒng)主要應(yīng)用到標(biāo)題顏色的輸出，如果增加其他樣式的輸出，要確保樣式的