【文章內(nèi)容簡介】 。. * What must happen now depends on whether virus scanning * is optional or mandatory for your application. * In the first case, you can ignore it, in the second * case * you must react with an error. This exception has a * SYMessage that leads the user to the right place in * customizing. WHEN OTHERS. * This situation is always an error (misconfiguration) * of the Virus Scan Interface. It must be reported. * Use the SYMessage that always acpanies the * exception. ENDCASE. 2. 現(xiàn)在你可以執(zhí)行出現(xiàn)在XSTRING這個對象里的數(shù)據(jù)病毒掃描。例子：* Retrieve scanner instance CALL METHOD lo_scannerscan_bytes EXPORTING if_data = lf_data if_do_clean = ‘ABAP_TRUE’ IMPORTING ef_scanrc = lf_scanrc EXCEPTIONS OTHERS = 1. 檢測結(jié)果大致是以下幾種情況：1. 返回值 LF_SCANRC 有這個值 CL_VSI= ，并且沒有發(fā)現(xiàn)任何受損部分。2. 返回值LF_SCANRC 有其他值，最常見的錯誤是CON_SCANRC…歸結(jié)于 CL_VSI這個類。 采用CL_VSI=GET_SCANRC_TEXT 這個方法，注解可以從錯誤代碼中獲取。通常來講，這種情況被當(dāng)作是檢測失敗。 18/503. 拋出異常：這表明配置錯誤或者其他的多種錯誤發(fā)生在檢測過程中。錯誤信息通常被通報，并且此次檢測也被視作失敗。如果參數(shù)IF_DO_CLEAN 是ABAP_TRUE這個值，清除動作將被執(zhí)行。一旦成功執(zhí)行，參數(shù)EF_DATA將返回EF_SCANRC = CON_SCANRC_CLEAN_OK. 如果參數(shù)IF_DO_CLEAN是ABAP_FALSE這個值，它應(yīng)該只被檢查。除了前面提到的方法SCAN_BYTES以外，還有兩種在CL_VSI類里面的方 法被用作病毒掃描： SCAN_FILE方法在應(yīng)用服務(wù)器上掃描本地的文件。 SCAN_ITAB方法用于掃描行類型是X和C的 內(nèi)部表。對于關(guān)于DDIC的對象，表，虛表，搜索幫助，消息，功能模塊，類集合和關(guān)于病毒掃描的事務(wù)處理，可以通過查看在ABAP工作臺里的在線文檔獲取。關(guān)于整合病毒掃描接口到客戶發(fā)展的信息可以從Integrating the Virus Scan Interface into Customer Developments [SAP Library]獲取。一個被注釋的原始代碼為VSI 的應(yīng)用為被上裝從工作站的掃描文件可以從Commented Example Program [SAP Library]獲取。名為RSVSCANTEST 的報表包含在系統(tǒng)執(zhí)行這項任務(wù)以適當(dāng)?shù)男问? 能并且被使用作為示范對象。注意以下的問題：如果輸入渠道不實施病毒掃瞄接口, 那么后續(xù)應(yīng)用也許實施它自己的VSI 。但它應(yīng)該被避免當(dāng)進(jìn)入系統(tǒng)的時期被同時掃描, 以防組分提供數(shù)據(jù)已經(jīng)執(zhí)行病毒掃瞄。安全審計日志由VSI 觸發(fā)類CL_VSI 自動地創(chuàng)造詞條在安全審計日志為被發(fā)現(xiàn)的傳染和掃瞄錯誤, 與以下信息一起: 關(guān)于大致情況。 步驟中允許掃描器小組的偵查。 這被發(fā)現(xiàn)了的病毒(如果可在內(nèi)部掃瞄引擎中找到病毒身份)。 用戶名和時間戳。被采伐的消息位于信息分類VSCAN, 使用系統(tǒng)記錄消息BU8 和BU9 (被創(chuàng)建在SE92) 。severities 各自地被設(shè)置為“高”，“低”，而審計組被設(shè)為“混雜的”。 19/50 詳細(xì)信息1. SAP向?qū)?，RFC 目的地的配置： ~sapidb/ SAP向?qū)?，病毒掃瞄服?wù)器的配置: ~sapidb/ SAP向?qū)В《緬呙檑櫍? ~sapidb/ 2. SAP Note 786179 : (數(shù)據(jù)保密產(chǎn)品: 應(yīng)用在antivirus 區(qū)域) 3. SAP Note 817623 (集成病毒掃瞄在SAP的應(yīng)用). 4. SAP NetWeaver 病毒掃描接口(NWVSI) 安全用戶接口 網(wǎng)絡(luò)應(yīng)用程序帶來的問題是,當(dāng)你想吸引用戶來訪問你的網(wǎng)站并與你的網(wǎng)絡(luò)程序進(jìn)行交互時，如果用戶進(jìn)行了意想不到的的輸入（比如腳本命令）。 因此，開發(fā)一個安全的網(wǎng)絡(luò)應(yīng)用程序的首要考慮是‘從來不要信任和假定任何從外部進(jìn)來的信息’。所有安全決定都應(yīng)該有一個潛在假設(shè)，即任何在理論上可以被人或事所應(yīng)用的都可以在現(xiàn)實中被應(yīng)用。，他就可以通過這種方法訪問內(nèi)部的數(shù)據(jù)庫。（SQL 指令植入式攻擊）下面幾節(jié)介紹了針對網(wǎng)絡(luò)應(yīng)用程序的不同的攻擊方法的例子并提供了對如何在安全編程中避免這些攻擊的方法。交叉資料站腳本攻擊CrossSite Scripting (XSS)描述 交叉資料站腳本攻擊（XSS）是通過植入惡意腳本代碼或者其他間接的方式，如轉(zhuǎn)向其他服務(wù)器，邏輯攻擊如替代圖片或者改變樣式表，從而用來作用于相關(guān)的HTML頁面。攻擊者找到特定的HTML頁面，在這些頁面用戶的輸入將被寫回到HTML，比如登陸界面會第二次顯示當(dāng)?shù)顷懯r的信息。這些例子展示了潛在的對XSS攻擊的安全漏洞，既用戶輸入的內(nèi)容可能被寫回到html頁面。 由于html是基于標(biāo)記這個事實，瀏覽器甚至可以編譯和執(zhí)行Javascript 或者包含惡意腳本命令的ActiveX 控件。這些命令在其他人打開這些HTML頁面的同時被執(zhí)行。ActiveX 控件攻擊的結(jié)果如下：?? 黑客可以讀取/更改/刪除一些其他用戶本地硬盤上的資料. ?? 應(yīng)用程序可能在其他用戶權(quán)限下執(zhí)行。?? 黑客可能安裝其他的應(yīng)用程序如木馬程序. Java或者 VBscript 潛在攻擊結(jié)果可能是：?? 使瀏覽器進(jìn)入一個死循環(huán). ?? . ?? 獲取所有用戶的輸入（信用卡號等）并發(fā)送到黑客的服務(wù)器上. ?? 獲取用戶的cookies (截獲session, 修改cookie). ?? 在標(biāo)記中插入新的腳本標(biāo)記作為輸出。比方說，在特定事件發(fā)生的時候增加一個新的事件處理器。例子代碼1: a href=javascript:alert()。Click me!/a 代碼2: img src=filename onclick=alert()。 代碼3: textarea onchange=alert()。 我需要做什么? 避免XSS攻擊的基本規(guī)則: ?? 輸入約束. ? 設(shè)計一個代碼表(如. charset = ISO88591)詳細(xì)的說明哪些字符代碼是有問題的. ? 過濾掉依賴于解釋器的關(guān)鍵字(HTML, 瀏覽器,文件系統(tǒng)等.). ? 限定那些特別允許使用的字符代碼的變量. ?? 規(guī)范化, 舉例來說， “規(guī)范化”這一章. ?? : ? 輸入項的長度, ? 數(shù)據(jù)類型, ? 范圍(如. 日期, 郵政編號), ? 白名單, 只包含那些已知的沒有問題的字符代碼. ?如果用戶允許在輸入項內(nèi)輸入一個鏈接，必須對URL的域進(jìn)行限制并且只允許選用驗證過的URL. ? 在HTML頁面下，必須將輸入的值封裝在引號標(biāo)記內(nèi)。這將保證黑客輸入的值（如“HUGO”)在兩個‘’之間。也只有這個情況惡意代碼可以通過一個簡單的對’”’的樣式過濾被發(fā)現(xiàn). 例子: form name=HUGO input type=text name=user value=30 /form 忽略引號標(biāo)記就會使一個XSS攻擊變得容易。因為攻擊者不需要把內(nèi)容放在任何‘’標(biāo)記內(nèi)，因此也就更難從HTML頁面內(nèi)過濾惡意代碼。不好的例子: form name=HUGO input type=text name=user value=30 /form ?? 輸出編碼. ?對用戶的輸入進(jìn)行編碼，這樣任何輸入的腳本將被阻止以可執(zhí)行的形式傳給用戶。 ?根據(jù)輸出的內(nèi)容轉(zhuǎn)化關(guān)鍵字符, 如. “” 轉(zhuǎn)化為 amp。lt。 , “”轉(zhuǎn)化為amp。gt。 , “””轉(zhuǎn)化為amp。quot。. ? 用SAP NetWeaver 平臺提供的輸出編碼架構(gòu), 例子代碼1: ? 部分公司的內(nèi)部網(wǎng)應(yīng)用程序: public void doContent(...) { ... String s。 if ((s = getUsernameByID(userid)) != null) { (brApplicant:u + s + /u)。 } ... } 假定輸出: brApplicant:uSmith/u ? 交叉資料站腳本CrossSite Scripting (XSS)攻擊例子: 在user name內(nèi)的數(shù)據(jù)輸入: script(39。 form name=hack method=post action= input type=hidden name=sid value=39。 + escape() + 39。39。)。 ()。 /script Smith ?交叉資料站腳本CrossSite Scripting (XSS)攻擊結(jié)果:在公司內(nèi)部網(wǎng)中，HTML 輸出包含了應(yīng)用程序的輸入: brApplicant:u script(‘ form name=hack method=post action= input type=hidden name=sid value=39。 + escape() + 39。39。)。 ()。/script Smith /u 可視的輸出: Applicant: Smith ? 跨站腳本（XSS）安全代碼: 用來提高安全性的函數(shù): public void doContent(...) { ... String s。 if ((s = getUsernameByID(userid)) != null) { s = (s, 50)。 (brApplicant:u + s + /u)。 } ... } 通過SAP NetWeaver平臺我們可以得到什么？a) 使用SAP輸出加密結(jié)構(gòu): 你可以使用SAP輸出加密結(jié)構(gòu)來防止跨站腳本病毒的攻擊。當(dāng)你以一個應(yīng)用程序開發(fā)者來編寫HTML代碼的時候可以使用這個結(jié)構(gòu)。在完成之前手動加密用戶補(bǔ)充的輸出部分。任何插入的腳本都不能以可執(zhí)行形態(tài)傳輸給用戶。該函數(shù)通常適用下列環(huán)境（參見SAP Note 866020):? SAP NetWeaver ’04, SP14. For ABAP, kernel patch 87 or higher should be used. ? SAP NetWeaver 2004s, SP5. For ABAP, kernel patch 21 or higher should be used. 在ABAP里，正如下面章節(jié)里將要提到的，你可以使用class CL_HTTP_UTILITY 里包含的一些函數(shù)。一般來說，需要區(qū)別對待四種類型的跨站腳本(XSS)攻擊: ?? 類型 1 跨站腳本（XSS）攻擊發(fā)生在一組對應(yīng)標(biāo)簽之間: head title[CASE1]/title /head table tr tdUsername/td td[CASE1]/td /tr /table 跨站腳本（XSS）攻擊例子: head titlescriptalert()。/script/title /head table tr tdUsername/td tdimg src=javascript:alert()。/td /tr /table ABAP class CL_HTTP_UTILITY 里的效用函數(shù)ESCAPE_HTML 可用作輸出加密: Data: i_unescaped type string, e_escaped