【文章內(nèi)容簡介】 除令牌用戶以外的其他任何人。 會(huì)話生命周期管理：（ 1） 會(huì)話 創(chuàng)建的嚴(yán)格驗(yàn)證； (2)會(huì)話退出： 應(yīng)總是執(zhí)行退出功能 ， 通過它刪除服務(wù)器上的所有會(huì)話資源并終止 會(huì)話令牌 ； (3)會(huì)話有效性： 處于非活動(dòng)狀態(tài)一段時(shí)間（如 10分鐘）后，應(yīng)執(zhí)行會(huì)話終止 ；（ 4） 應(yīng)防止并行登錄 ， 每次一名用戶登錄，都應(yīng)發(fā)布一個(gè)新會(huì)話令牌，同時(shí)廢止任何屬于該用戶的現(xiàn)有會(huì)話 ； 應(yīng)采取特殊措施保護(hù)會(huì)話管理機(jī)制的安全，防止應(yīng)用程序用戶成為各種攻擊的目標(biāo)。 如： 不能 以明文形式傳送的令牌 ； 絕不能在 URL中傳送會(huì)話令牌，因?yàn)檫@樣做易于受到會(huì)話固定攻擊，并可能使令牌出現(xiàn)在各種日志機(jī)制中 最好是對(duì)所有導(dǎo)航使用 POST請(qǐng)求實(shí)現(xiàn)這一目的，并將令牌保存在 HTML表單隱藏字段中 。 不完全依賴 HTTP cookie 傳送會(huì)話 令牌可防御跨站點(diǎn)請(qǐng)求偽造攻擊。 應(yīng)用程序不得接受它認(rèn)為不是自己發(fā)布的任意會(huì)話令牌。應(yīng)立即在瀏覽器中取消該令牌，并將用戶返回到應(yīng)用程序的起始頁面 。 任何時(shí)候，只要一名用戶與應(yīng)用程序的交互狀態(tài)由匿名轉(zhuǎn)變?yōu)榇_認(rèn)，應(yīng)用程序就應(yīng)該發(fā)布一個(gè)新的會(huì)話令牌。這不僅適用于用戶成功登錄的情況，而且適用于匿名用戶首次提交個(gè)人或其他敏感信息時(shí) 。 示例 略 不安全的信息存儲(chǔ)及通信 漏洞說明 大多數(shù) WEB應(yīng)用程序都使用加密技術(shù)來保護(hù)敏感數(shù)據(jù)的安全。但是，還有一些 WEB站點(diǎn)卻使用簡單的不合理的加密技術(shù)來保護(hù)敏感數(shù)據(jù)，有的甚至根本沒有使 用任何加密技術(shù)，這些方式都有可能造成機(jī)密的數(shù)據(jù)被查看、修改、復(fù)制或刪除。 另外， 當(dāng)用戶與 WEB站點(diǎn)進(jìn)行通信時(shí)，如果不對(duì)在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包時(shí)行加密傳輸，就有可能被攻擊通過以網(wǎng)絡(luò)嗅探的方式截獲，從而引起嚴(yán)重的安全事件?，F(xiàn)在一種普遍的 WEB內(nèi)容加密通信方式就是使用 SSL(也就是安全套接字 )。 漏洞危害 攻擊者通過缺乏有效保護(hù)的數(shù)據(jù)來竊取身份及其它犯罪行為 。 處理說明 對(duì) 敏感數(shù)據(jù)需要 進(jìn)行 保護(hù)， 如：加密； 對(duì)關(guān)鍵的數(shù)據(jù)傳輸采用 加密傳輸 。 示例 無 限制 URL訪問失效 漏洞說明 通 常 ，一個(gè)沒有授權(quán)并且沒有通過驗(yàn)證 的用戶是不可能打開一個(gè)受保護(hù)的網(wǎng)頁的。但是，如果 WEB站點(diǎn)使用了錯(cuò)誤的 RRL訪問控制規(guī)則，那么，一個(gè)有明確動(dòng)機(jī)且技術(shù)高超的攻擊者就有可能利用這個(gè)漏洞打開這些網(wǎng)頁，并且有可能引用其中的某些功能和查看機(jī)密數(shù)據(jù) 。 漏洞危害 攻擊者就有可能利用這個(gè)漏洞打開這些網(wǎng)頁，并且有可能引用其中的某些功能和查看機(jī)密數(shù)據(jù) 。 處理說明 正確 配置 WEB站點(diǎn)的訪問控制策略，以便將所有可能的非法訪問者在打開網(wǎng)頁全部拒之門 外。 示例 無 特殊字符的 HTML轉(zhuǎn)換 漏洞說明 數(shù)據(jù)庫讀取一些 div標(biāo)簽或特殊字符 (如單引號(hào)等 )在頁面直接展示 ； 漏洞危害 使直接頁面輸出值時(shí)頁面樣式走樣 。 處理說明 盡量先把特殊字符做 HTML字符轉(zhuǎn)換 示例 無 緩沖區(qū) 溢出 漏洞說明 緩沖區(qū)溢出漏洞想必大家都很熟悉，無非是 Web服務(wù)器沒有對(duì)用戶提交的超長請(qǐng)求沒有進(jìn)行合適的處理，這種請(qǐng)求可能包括超長 URL，超長 HTTP Header域，或者是其它超長的數(shù)據(jù)。 漏洞危害 可能造成程序崩潰或者執(zhí)行攻擊者的命令。 處理說明 及時(shí)打上 WEB軟件、操作系統(tǒng)補(bǔ)?。? 對(duì)用戶提交的數(shù)據(jù)進(jìn)行長度判斷。 示例 無 安全 開發(fā)規(guī)范 結(jié)合常見 WEB安全漏洞，對(duì)部門日?；诨ヂ?lián)網(wǎng)網(wǎng)站 的代碼開發(fā)，提出以下規(guī)范要求。 用戶登錄處理 登錄程序需要對(duì)用戶輸入的用戶名及口令仔細(xì)進(jìn)行有效性校驗(yàn) ； 對(duì)用戶 提交一些 登錄 數(shù)據(jù) 進(jìn)行合法性 驗(yàn)證 ，過濾掉 一些 特殊字符 ，主要有 %。amp。+39。()， % 主要是為了過濾 %20前的一些非可見字符引發(fā)的問題，如回車 (%0a)、換行符 (%0d)、空字符(%00)， 是為了過濾 HTML和 JAVASCRIPT腳本注入 ， % 。 amp。 + 39。( ) 主要是為了防止SQL腳本注入 ； 要求登錄驗(yàn)證必須采用圖片驗(yàn)證碼方式； 對(duì)于口令驗(yàn)證過程，建議采用下列方式 ： 根據(jù)提交的用戶名在 數(shù)據(jù)庫中查找記錄，如果沒有則出錯(cuò)返回，如果有該用戶，轉(zhuǎn)步驟 2； 將得到的記錄中的口令部分與 用戶輸入的口令進(jìn)行字符串比較，如果一致則允許通過，否則出錯(cuò)返回 。 注意：不要在一條 select語句中同時(shí)完成對(duì)用戶 /口令的驗(yàn)證，以增加潛在的危險(xiǎn)攻擊的難度 。 會(huì)話安 全 建立一個(gè)無法預(yù)測的安全令牌后，在這個(gè)令牌生成到廢止的整個(gè)生命周 期中保障它的安全，確保不會(huì)將其泄露給除令牌用戶以外的其他任何人 ； 會(huì)話生命周期管理：（ 1） 會(huì)話 創(chuàng)建的嚴(yán)格驗(yàn)證； (2)會(huì)話退出： 應(yīng)總是執(zhí)行退出功能 ， 通過它刪除服務(wù)器上的所有會(huì)話資源并終止會(huì)話 令牌 ； (3)會(huì)話有效性： 處于非活動(dòng)狀態(tài)一段時(shí)間（如 10分鐘）后，應(yīng)執(zhí)行會(huì)話終止 ；（ 4） 應(yīng)防止并行登錄 ， 每次一名用戶登錄，都應(yīng)發(fā)布一個(gè)新會(huì)話令牌，同時(shí)廢止任何屬于該用戶的現(xiàn)有會(huì)話 ； 應(yīng)采取特殊措施保護(hù)會(huì)話管理機(jī)制的安全，防止應(yīng)用程序用戶成為各種攻擊的目標(biāo)。 如： 不能 以明文形式傳送的令牌 ； 絕不能在 URL中傳送會(huì)話令牌，因?yàn)檫@樣做易于受到會(huì)話固定攻擊，并可能使令牌出現(xiàn)在各種日志機(jī)制中 ； 最好是對(duì)所有導(dǎo)航使用 POST請(qǐng)求實(shí)現(xiàn)這一目的，并將令牌保存在 HTML表單隱藏字段中 ； 不完全依賴 HTTP cookie 傳送會(huì)話令 牌可防御跨站點(diǎn)請(qǐng)求偽造攻擊。 應(yīng)用程序不得接受它認(rèn)為不是自己發(fā)布的任意會(huì)話令牌。應(yīng)立即在瀏覽器中取消該令牌，并將用戶返回到應(yīng)用程序的起始頁面。 任何時(shí)候，只要一名用戶與應(yīng)用程序的交互狀態(tài)由匿名轉(zhuǎn)變?yōu)榇_認(rèn)，應(yīng)用程序就應(yīng)該發(fā)布一個(gè)新的會(huì)話令牌。這不僅適用于用戶成功登錄的情況，而且適用于匿名用戶首次提交個(gè)人或其他敏感信息時(shí)。 用戶 輸入 檢查及 過濾 目前網(wǎng)站安全最常見的問題， 就是注入和 XSS攻擊，而這兩個(gè)攻擊的源頭，都來自于沒有妥善過濾由使用者傳來的數(shù)據(jù)，除了輸入數(shù)據(jù)之外，包含 cookie、參數(shù)都可能成為黑客利用 的工 具。 因此要求對(duì)用戶輸入提交的內(nèi)容進(jìn)行嚴(yán)格過濾： 要求對(duì)用戶輸入內(nèi)容進(jìn)行業(yè)務(wù)內(nèi)容合法性檢查； 對(duì)用戶提交的數(shù)據(jù)進(jìn)行長度判斷； 要求在 WEB前端 、 WEB后端均需要進(jìn)行數(shù)據(jù) 檢查。 客戶輸入的原始數(shù)據(jù)進(jìn)行校驗(yàn)不要完全依賴于 Script。腳本是不安全的，用戶可能屏蔽腳本，因引要求在客戶端合法性檢查的基礎(chǔ)上，還需要將用戶數(shù)據(jù)送入服務(wù)器端，在服務(wù)器上驗(yàn)證字符串的合法性。 拒絕任何以斜線開始的內(nèi)容 。 斜線意味著 “ 相對(duì)于根 ” 或絕對(duì)路徑。用戶很少需要訪問 web根目錄之外的數(shù)據(jù)，這樣他們使用的路徑就是相對(duì)于 web根目錄，而不 是絕對(duì)路徑，為安全起見，有必要拒絕任何以斜線開始的內(nèi)容； 拒絕任何包含單個(gè)點(diǎn)（ .）和兩個(gè)點(diǎn)（ ..）的序列的內(nèi)容 在路徑中單個(gè)點(diǎn)（ .）和兩個(gè)點(diǎn)（ ..）的序列有特殊含義。單點(diǎn)意味著 “ 相對(duì)于當(dāng)前目錄 ” ，而雙點(diǎn)意味著 “ 相對(duì)于當(dāng)前目錄的父目錄 ” 。有些人可以建立象 ../../../etc/passwd這樣的串逆向三層，然后向下進(jìn)入 /etc/passwd文件，從而對(duì)系統(tǒng)安全造成極大威脅； 在把用戶提交的數(shù)據(jù)傳送給系統(tǒng)之前，過濾掉如下字符： [1] |（豎線符號(hào)） [2] amp。 （ amp。 符號(hào)） [3]。（分號(hào)） [4] $（美 元符號(hào)） [5] %（百分比符號(hào)） [6] @（ at 符號(hào)） [7] 39。（單引號(hào)） [8] （引號(hào)） [9] \39。（反斜杠轉(zhuǎn)義單引號(hào)） [10] \（反斜杠轉(zhuǎn)義引號(hào)） [11] （尖括號(hào)） [12] ()（括號(hào)） [13] +（加號(hào)） [14] CR（回車符， ASCII 0x0d） [15] LF（換行， ASCII 0x0a） [16] ,（逗號(hào)） [17] \（反斜杠） 還有： * ! { } [ ] : 如： HTML的輸入標(biāo)識(shí)符中去除所有輸入的尖括號(hào) 39。39。 39。 39。； 仔細(xì)檢查輸入語句，一 般 情況拒絕如下命令： rm – f mail ?? delete ?? ?? /etc/passwd 或其它對(duì)系統(tǒng)有威脅的操作。 對(duì) 數(shù)值型變量，首先要判斷其內(nèi)容是不是真的數(shù)值型，如果不是，就進(jìn)行出錯(cuò)處理。 界面輸出 對(duì)所有輸出數(shù)據(jù)進(jìn)行適當(dāng)?shù)木幋a，以防止任何已成功注入的腳本在瀏覽器端運(yùn)行 。 頁面重定向 盡量 不將用戶提交的數(shù)據(jù)合并到重定向目標(biāo)中 ； 從應(yīng)用程序中刪除重定向頁面，用直接指向相關(guān)目標(biāo) URL的鏈接替代指向重定向頁面的鏈接 ； 建立一個(gè)包含所有有效重定向 URL的列表。不以參數(shù)的形式向重定向頁面?zhèn)魉湍繕?biāo) URL， 相反，傳送這個(gè)列表的一個(gè)索引。重定向頁面應(yīng)在它的列表中查詢這個(gè)索引，并返回一個(gè)指向相關(guān) URL的重定向。 應(yīng)用程序應(yīng)在所有重定向中使用相對(duì) URL，重定向頁面應(yīng)嚴(yán)格確認(rèn)它收到的 URL是一個(gè)相對(duì)URL。它應(yīng)當(dāng)確認(rèn)：用戶提交的 URL或者以單獨(dú)一個(gè)斜線字符、后接一個(gè)字母開頭，或者以一個(gè)字母開頭，并且在第一個(gè)斜線前沒有冒號(hào)。應(yīng)拒絕而不是凈化任何其他輸入。 對(duì)于 確 需要根據(jù)用戶輸入數(shù)據(jù)進(jìn)行重組生成一個(gè) url進(jìn)行，進(jìn)行頁面重定向的，跳轉(zhuǎn)個(gè)面時(shí)先要將字符串用 ()進(jìn)行編碼 。 錯(cuò) 誤 信 息 處理 有許 多程序開發(fā)人員對(duì)于錯(cuò)誤處理不夠細(xì)心，導(dǎo)致腳本語法或數(shù)據(jù)庫發(fā)生錯(cuò)誤時(shí)，直接讓錯(cuò)誤碼呈現(xiàn)在瀏覽器，錯(cuò)誤信息對(duì)一般的使用者沒什么意義，但往往會(huì)給黑客帶來許多參考價(jià)值。 在開發(fā)過程中 ，往往設(shè) 定輸出一些出錯(cuò)信息，或者借助系統(tǒng)的出錯(cuò)信息對(duì)程序進(jìn)行調(diào)試。 在提交測試后 ，要 求 注意替換這些出錯(cuò) 誤 提示信息，以免泄露一些重要的信息給惡意攻擊者。特別時(shí)在程序測試階段，一定要注意用戶輸入錯(cuò)誤數(shù)據(jù)后程序的運(yùn)行結(jié)果及報(bào)錯(cuò)信息等。 為了不讓教多了十分小心地正在做登錄時(shí)的錯(cuò)誤信息弄錯(cuò)什么了。面向用戶的錯(cuò)誤信息不應(yīng)該給的太足，以免用戶由此推斷出 程序的內(nèi)部結(jié)構(gòu)的相關(guān)信息。 對(duì) WEB站點(diǎn)所返回的錯(cuò)誤信息應(yīng)當(dāng)以最通用的方式表示，盡量不顯露出服務(wù)器 物理路徑、操作系統(tǒng) 版本和數(shù)據(jù)庫 等 信息 。 對(duì)象訪問權(quán)限 控制應(yīng)用程序的訪問權(quán)限 ，如針對(duì)每個(gè)業(yè)務(wù)界面都判斷權(quán)限，沒有權(quán)限的直接跳轉(zhuǎn)到錯(cuò)誤提示界面； 使用非直接的對(duì)象引用 —— 這防止了攻擊者直接訪問其并未授權(quán)的對(duì)象，通過一種 mapping或是 其他 的方法讓攻擊者無法直接訪問 ， 比如用戶號(hào)碼不在 URL中直接傳遞，而是通過調(diào)用父窗口中的某個(gè)方法取得 ，避免攻擊者直接修改 URL串的信息，意外得到其他用戶的信息； 檢查訪問 —— 對(duì)每一個(gè)來自于不信任的源的直接對(duì) 象引用都必須包含訪問控制檢查，從而確信該用戶對(duì)該對(duì)象擁有訪問權(quán)，比如判斷當(dāng)前傳入的用戶號(hào)碼和已經(jīng)登錄的用戶號(hào)碼是否一致，如果不一致，則認(rèn)為是漏洞攻擊。 上傳內(nèi)容 檢查 嚴(yán)格檢查上傳文件的類型，對(duì) jsp 和 war后綴文件，需要進(jìn)