【文章內(nèi)容簡介】 除令牌用戶以外的其他任何人。 會話生命周期管理：（ 1） 會話 創(chuàng)建的嚴(yán)格驗(yàn)證； (2)會話退出： 應(yīng)總是執(zhí)行退出功能 ， 通過它刪除服務(wù)器上的所有會話資源并終止 會話令牌 ； (3)會話有效性： 處于非活動狀態(tài)一段時間（如 10分鐘）后，應(yīng)執(zhí)行會話終止 ；（ 4） 應(yīng)防止并行登錄 ， 每次一名用戶登錄，都應(yīng)發(fā)布一個新會話令牌，同時廢止任何屬于該用戶的現(xiàn)有會話 ； 應(yīng)采取特殊措施保護(hù)會話管理機(jī)制的安全，防止應(yīng)用程序用戶成為各種攻擊的目標(biāo)。 如： 不能 以明文形式傳送的令牌 ； 絕不能在 URL中傳送會話令牌，因?yàn)檫@樣做易于受到會話固定攻擊，并可能使令牌出現(xiàn)在各種日志機(jī)制中 最好是對所有導(dǎo)航使用 POST請求實(shí)現(xiàn)這一目的，并將令牌保存在 HTML表單隱藏字段中 。 不完全依賴 HTTP cookie 傳送會話 令牌可防御跨站點(diǎn)請求偽造攻擊。 應(yīng)用程序不得接受它認(rèn)為不是自己發(fā)布的任意會話令牌。應(yīng)立即在瀏覽器中取消該令牌，并將用戶返回到應(yīng)用程序的起始頁面 。 任何時候，只要一名用戶與應(yīng)用程序的交互狀態(tài)由匿名轉(zhuǎn)變?yōu)榇_認(rèn)，應(yīng)用程序就應(yīng)該發(fā)布一個新的會話令牌。這不僅適用于用戶成功登錄的情況，而且適用于匿名用戶首次提交個人或其他敏感信息時 。 示例 略 不安全的信息存儲及通信 漏洞說明 大多數(shù) WEB應(yīng)用程序都使用加密技術(shù)來保護(hù)敏感數(shù)據(jù)的安全。但是，還有一些 WEB站點(diǎn)卻使用簡單的不合理的加密技術(shù)來保護(hù)敏感數(shù)據(jù)，有的甚至根本沒有使 用任何加密技術(shù)，這些方式都有可能造成機(jī)密的數(shù)據(jù)被查看、修改、復(fù)制或刪除。 另外， 當(dāng)用戶與 WEB站點(diǎn)進(jìn)行通信時，如果不對在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包時行加密傳輸，就有可能被攻擊通過以網(wǎng)絡(luò)嗅探的方式截獲，從而引起嚴(yán)重的安全事件?，F(xiàn)在一種普遍的 WEB內(nèi)容加密通信方式就是使用 SSL(也就是安全套接字 )。 漏洞危害 攻擊者通過缺乏有效保護(hù)的數(shù)據(jù)來竊取身份及其它犯罪行為 。 處理說明 對 敏感數(shù)據(jù)需要 進(jìn)行 保護(hù)， 如：加密； 對關(guān)鍵的數(shù)據(jù)傳輸采用 加密傳輸 。 示例 無 限制 URL訪問失效 漏洞說明 通 常 ，一個沒有授權(quán)并且沒有通過驗(yàn)證 的用戶是不可能打開一個受保護(hù)的網(wǎng)頁的。但是，如果 WEB站點(diǎn)使用了錯誤的 RRL訪問控制規(guī)則，那么，一個有明確動機(jī)且技術(shù)高超的攻擊者就有可能利用這個漏洞打開這些網(wǎng)頁，并且有可能引用其中的某些功能和查看機(jī)密數(shù)據(jù) 。 漏洞危害 攻擊者就有可能利用這個漏洞打開這些網(wǎng)頁，并且有可能引用其中的某些功能和查看機(jī)密數(shù)據(jù) 。 處理說明 正確 配置 WEB站點(diǎn)的訪問控制策略，以便將所有可能的非法訪問者在打開網(wǎng)頁全部拒之門 外。 示例 無 特殊字符的 HTML轉(zhuǎn)換 漏洞說明 數(shù)據(jù)庫讀取一些 div標(biāo)簽或特殊字符 (如單引號等 )在頁面直接展示 ； 漏洞危害 使直接頁面輸出值時頁面樣式走樣 。 處理說明 盡量先把特殊字符做 HTML字符轉(zhuǎn)換 示例 無 緩沖區(qū) 溢出 漏洞說明 緩沖區(qū)溢出漏洞想必大家都很熟悉，無非是 Web服務(wù)器沒有對用戶提交的超長請求沒有進(jìn)行合適的處理，這種請求可能包括超長 URL，超長 HTTP Header域，或者是其它超長的數(shù)據(jù)。 漏洞危害 可能造成程序崩潰或者執(zhí)行攻擊者的命令。 處理說明 及時打上 WEB軟件、操作系統(tǒng)補(bǔ)??； 對用戶提交的數(shù)據(jù)進(jìn)行長度判斷。 示例 無 安全 開發(fā)規(guī)范 結(jié)合常見 WEB安全漏洞，對部門日?；诨ヂ?lián)網(wǎng)網(wǎng)站 的代碼開發(fā)，提出以下規(guī)范要求。 用戶登錄處理 登錄程序需要對用戶輸入的用戶名及口令仔細(xì)進(jìn)行有效性校驗(yàn) ； 對用戶 提交一些 登錄 數(shù)據(jù) 進(jìn)行合法性 驗(yàn)證 ，過濾掉 一些 特殊字符 ，主要有 %。amp。+39。()， % 主要是為了過濾 %20前的一些非可見字符引發(fā)的問題，如回車 (%0a)、換行符 (%0d)、空字符(%00)， 是為了過濾 HTML和 JAVASCRIPT腳本注入 ， % 。 amp。 + 39。( ) 主要是為了防止SQL腳本注入 ； 要求登錄驗(yàn)證必須采用圖片驗(yàn)證碼方式； 對于口令驗(yàn)證過程，建議采用下列方式 ： 根據(jù)提交的用戶名在 數(shù)據(jù)庫中查找記錄，如果沒有則出錯返回，如果有該用戶，轉(zhuǎn)步驟 2； 將得到的記錄中的口令部分與 用戶輸入的口令進(jìn)行字符串比較，如果一致則允許通過，否則出錯返回 。 注意：不要在一條 select語句中同時完成對用戶 /口令的驗(yàn)證，以增加潛在的危險攻擊的難度 。 會話安 全 建立一個無法預(yù)測的安全令牌后，在這個令牌生成到廢止的整個生命周 期中保障它的安全，確保不會將其泄露給除令牌用戶以外的其他任何人 ； 會話生命周期管理：（ 1） 會話 創(chuàng)建的嚴(yán)格驗(yàn)證； (2)會話退出： 應(yīng)總是執(zhí)行退出功能 ， 通過它刪除服務(wù)器上的所有會話資源并終止會話 令牌 ； (3)會話有效性： 處于非活動狀態(tài)一段時間（如 10分鐘）后，應(yīng)執(zhí)行會話終止 ；（ 4） 應(yīng)防止并行登錄 ， 每次一名用戶登錄，都應(yīng)發(fā)布一個新會話令牌，同時廢止任何屬于該用戶的現(xiàn)有會話 ； 應(yīng)采取特殊措施保護(hù)會話管理機(jī)制的安全，防止應(yīng)用程序用戶成為各種攻擊的目標(biāo)。 如： 不能 以明文形式傳送的令牌 ； 絕不能在 URL中傳送會話令牌，因?yàn)檫@樣做易于受到會話固定攻擊，并可能使令牌出現(xiàn)在各種日志機(jī)制中 ； 最好是對所有導(dǎo)航使用 POST請求實(shí)現(xiàn)這一目的，并將令牌保存在 HTML表單隱藏字段中 ； 不完全依賴 HTTP cookie 傳送會話令 牌可防御跨站點(diǎn)請求偽造攻擊。 應(yīng)用程序不得接受它認(rèn)為不是自己發(fā)布的任意會話令牌。應(yīng)立即在瀏覽器中取消該令牌，并將用戶返回到應(yīng)用程序的起始頁面。 任何時候，只要一名用戶與應(yīng)用程序的交互狀態(tài)由匿名轉(zhuǎn)變?yōu)榇_認(rèn)，應(yīng)用程序就應(yīng)該發(fā)布一個新的會話令牌。這不僅適用于用戶成功登錄的情況，而且適用于匿名用戶首次提交個人或其他敏感信息時。 用戶 輸入 檢查及 過濾 目前網(wǎng)站安全最常見的問題， 就是注入和 XSS攻擊，而這兩個攻擊的源頭，都來自于沒有妥善過濾由使用者傳來的數(shù)據(jù)，除了輸入數(shù)據(jù)之外，包含 cookie、參數(shù)都可能成為黑客利用 的工 具。 因此要求對用戶輸入提交的內(nèi)容進(jìn)行嚴(yán)格過濾： 要求對用戶輸入內(nèi)容進(jìn)行業(yè)務(wù)內(nèi)容合法性檢查； 對用戶提交的數(shù)據(jù)進(jìn)行長度判斷； 要求在 WEB前端 、 WEB后端均需要進(jìn)行數(shù)據(jù) 檢查。 客戶輸入的原始數(shù)據(jù)進(jìn)行校驗(yàn)不要完全依賴于 Script。腳本是不安全的，用戶可能屏蔽腳本，因引要求在客戶端合法性檢查的基礎(chǔ)上，還需要將用戶數(shù)據(jù)送入服務(wù)器端，在服務(wù)器上驗(yàn)證字符串的合法性。 拒絕任何以斜線開始的內(nèi)容 。 斜線意味著 “ 相對于根 ” 或絕對路徑。用戶很少需要訪問 web根目錄之外的數(shù)據(jù)，這樣他們使用的路徑就是相對于 web根目錄，而不 是絕對路徑，為安全起見，有必要拒絕任何以斜線開始的內(nèi)容； 拒絕任何包含單個點(diǎn)（ .）和兩個點(diǎn)（ ..）的序列的內(nèi)容 在路徑中單個點(diǎn)（ .）和兩個點(diǎn)（ ..）的序列有特殊含義。單點(diǎn)意味著 “ 相對于當(dāng)前目錄 ” ，而雙點(diǎn)意味著 “ 相對于當(dāng)前目錄的父目錄 ” 。有些人可以建立象 ../../../etc/passwd這樣的串逆向三層，然后向下進(jìn)入 /etc/passwd文件，從而對系統(tǒng)安全造成極大威脅； 在把用戶提交的數(shù)據(jù)傳送給系統(tǒng)之前，過濾掉如下字符： [1] |（豎線符號） [2] amp。 （ amp。 符號） [3]。（分號） [4] $（美 元符號） [5] %（百分比符號） [6] @（ at 符號） [7] 39。（單引號） [8] （引號） [9] \39。（反斜杠轉(zhuǎn)義單引號） [10] \（反斜杠轉(zhuǎn)義引號） [11] （尖括號） [12] ()（括號） [13] +（加號） [14] CR（回車符， ASCII 0x0d） [15] LF（換行， ASCII 0x0a） [16] ,（逗號） [17] \（反斜杠） 還有： * ! { } [ ] : 如： HTML的輸入標(biāo)識符中去除所有輸入的尖括號 39。39。 39。 39。； 仔細(xì)檢查輸入語句，一 般 情況拒絕如下命令： rm – f mail ?? delete ?? ?? /etc/passwd 或其它對系統(tǒng)有威脅的操作。 對 數(shù)值型變量，首先要判斷其內(nèi)容是不是真的數(shù)值型，如果不是，就進(jìn)行出錯處理。 界面輸出 對所有輸出數(shù)據(jù)進(jìn)行適當(dāng)?shù)木幋a，以防止任何已成功注入的腳本在瀏覽器端運(yùn)行 。 頁面重定向 盡量 不將用戶提交的數(shù)據(jù)合并到重定向目標(biāo)中 ； 從應(yīng)用程序中刪除重定向頁面，用直接指向相關(guān)目標(biāo) URL的鏈接替代指向重定向頁面的鏈接 ； 建立一個包含所有有效重定向 URL的列表。不以參數(shù)的形式向重定向頁面?zhèn)魉湍繕?biāo) URL， 相反，傳送這個列表的一個索引。重定向頁面應(yīng)在它的列表中查詢這個索引，并返回一個指向相關(guān) URL的重定向。 應(yīng)用程序應(yīng)在所有重定向中使用相對 URL，重定向頁面應(yīng)嚴(yán)格確認(rèn)它收到的 URL是一個相對URL。它應(yīng)當(dāng)確認(rèn)：用戶提交的 URL或者以單獨(dú)一個斜線字符、后接一個字母開頭，或者以一個字母開頭，并且在第一個斜線前沒有冒號。應(yīng)拒絕而不是凈化任何其他輸入。 對于 確 需要根據(jù)用戶輸入數(shù)據(jù)進(jìn)行重組生成一個 url進(jìn)行，進(jìn)行頁面重定向的，跳轉(zhuǎn)個面時先要將字符串用 ()進(jìn)行編碼 。 錯 誤 信 息 處理 有許 多程序開發(fā)人員對于錯誤處理不夠細(xì)心，導(dǎo)致腳本語法或數(shù)據(jù)庫發(fā)生錯誤時，直接讓錯誤碼呈現(xiàn)在瀏覽器，錯誤信息對一般的使用者沒什么意義，但往往會給黑客帶來許多參考價值。 在開發(fā)過程中 ，往往設(shè) 定輸出一些出錯信息，或者借助系統(tǒng)的出錯信息對程序進(jìn)行調(diào)試。 在提交測試后 ，要 求 注意替換這些出錯 誤 提示信息，以免泄露一些重要的信息給惡意攻擊者。特別時在程序測試階段，一定要注意用戶輸入錯誤數(shù)據(jù)后程序的運(yùn)行結(jié)果及報錯信息等。 為了不讓教多了十分小心地正在做登錄時的錯誤信息弄錯什么了。面向用戶的錯誤信息不應(yīng)該給的太足，以免用戶由此推斷出 程序的內(nèi)部結(jié)構(gòu)的相關(guān)信息。 對 WEB站點(diǎn)所返回的錯誤信息應(yīng)當(dāng)以最通用的方式表示，盡量不顯露出服務(wù)器 物理路徑、操作系統(tǒng) 版本和數(shù)據(jù)庫 等 信息 。 對象訪問權(quán)限 控制應(yīng)用程序的訪問權(quán)限 ，如針對每個業(yè)務(wù)界面都判斷權(quán)限，沒有權(quán)限的直接跳轉(zhuǎn)到錯誤提示界面； 使用非直接的對象引用 —— 這防止了攻擊者直接訪問其并未授權(quán)的對象，通過一種 mapping或是 其他 的方法讓攻擊者無法直接訪問 ， 比如用戶號碼不在 URL中直接傳遞，而是通過調(diào)用父窗口中的某個方法取得 ，避免攻擊者直接修改 URL串的信息，意外得到其他用戶的信息； 檢查訪問 —— 對每一個來自于不信任的源的直接對 象引用都必須包含訪問控制檢查，從而確信該用戶對該對象擁有訪問權(quán)，比如判斷當(dāng)前傳入的用戶號碼和已經(jīng)登錄的用戶號碼是否一致，如果不一致，則認(rèn)為是漏洞攻擊。 上傳內(nèi)容 檢查 嚴(yán)格檢查上傳文件的類型，對 jsp 和 war后綴文件，需要進(jìn)