【文章內容簡介】 。. * What must happen now depends on whether virus scanning * is optional or mandatory for your application. * In the first case, you can ignore it, in the second * case * you must react with an error. This exception has a * SYMessage that leads the user to the right place in * customizing. WHEN OTHERS. * This situation is always an error (misconfiguration) * of the Virus Scan Interface. It must be reported. * Use the SYMessage that always acpanies the * exception. ENDCASE. 2. 現(xiàn)在你可以執(zhí)行出現(xiàn)在XSTRING這個對象里的數(shù)據(jù)病毒掃描。例子：* Retrieve scanner instance CALL METHOD lo_scannerscan_bytes EXPORTING if_data = lf_data if_do_clean = ‘ABAP_TRUE’ IMPORTING ef_scanrc = lf_scanrc EXCEPTIONS OTHERS = 1. 檢測結果大致是以下幾種情況：1. 返回值 LF_SCANRC 有這個值 CL_VSI= ，并且沒有發(fā)現(xiàn)任何受損部分。2. 返回值LF_SCANRC 有其他值，最常見的錯誤是CON_SCANRC…歸結于 CL_VSI這個類。 采用CL_VSI=GET_SCANRC_TEXT 這個方法，注解可以從錯誤代碼中獲取。通常來講，這種情況被當作是檢測失敗。 18/503. 拋出異常：這表明配置錯誤或者其他的多種錯誤發(fā)生在檢測過程中。錯誤信息通常被通報，并且此次檢測也被視作失敗。如果參數(shù)IF_DO_CLEAN 是ABAP_TRUE這個值，清除動作將被執(zhí)行。一旦成功執(zhí)行，參數(shù)EF_DATA將返回EF_SCANRC = CON_SCANRC_CLEAN_OK. 如果參數(shù)IF_DO_CLEAN是ABAP_FALSE這個值，它應該只被檢查。除了前面提到的方法SCAN_BYTES以外，還有兩種在CL_VSI類里面的方 法被用作病毒掃描： SCAN_FILE方法在應用服務器上掃描本地的文件。 SCAN_ITAB方法用于掃描行類型是X和C的 內部表。對于關于DDIC的對象，表，虛表，搜索幫助，消息，功能模塊，類集合和關于病毒掃描的事務處理，可以通過查看在ABAP工作臺里的在線文檔獲取。關于整合病毒掃描接口到客戶發(fā)展的信息可以從Integrating the Virus Scan Interface into Customer Developments [SAP Library]獲取。一個被注釋的原始代碼為VSI 的應用為被上裝從工作站的掃描文件可以從Commented Example Program [SAP Library]獲取。名為RSVSCANTEST 的報表包含在系統(tǒng)執(zhí)行這項任務以適當?shù)男问? 能并且被使用作為示范對象。注意以下的問題：如果輸入渠道不實施病毒掃瞄接口, 那么后續(xù)應用也許實施它自己的VSI 。但它應該被避免當進入系統(tǒng)的時期被同時掃描, 以防組分提供數(shù)據(jù)已經(jīng)執(zhí)行病毒掃瞄。安全審計日志由VSI 觸發(fā)類CL_VSI 自動地創(chuàng)造詞條在安全審計日志為被發(fā)現(xiàn)的傳染和掃瞄錯誤, 與以下信息一起: 關于大致情況。 步驟中允許掃描器小組的偵查。 這被發(fā)現(xiàn)了的病毒(如果可在內部掃瞄引擎中找到病毒身份)。 用戶名和時間戳。被采伐的消息位于信息分類VSCAN, 使用系統(tǒng)記錄消息BU8 和BU9 (被創(chuàng)建在SE92) 。severities 各自地被設置為“高”，“低”，而審計組被設為“混雜的”。 19/50 詳細信息1. SAP向導，RFC 目的地的配置： ~sapidb/ SAP向導，病毒掃瞄服務器的配置: ~sapidb/ SAP向導，病毒掃瞄蹤： ~sapidb/ 2. SAP Note 786179 : (數(shù)據(jù)保密產(chǎn)品: 應用在antivirus 區(qū)域) 3. SAP Note 817623 (集成病毒掃瞄在SAP的應用). 4. SAP NetWeaver 病毒掃描接口(NWVSI) 安全用戶接口 網(wǎng)絡應用程序帶來的問題是,當你想吸引用戶來訪問你的網(wǎng)站并與你的網(wǎng)絡程序進行交互時，如果用戶進行了意想不到的的輸入（比如腳本命令）。 因此，開發(fā)一個安全的網(wǎng)絡應用程序的首要考慮是‘從來不要信任和假定任何從外部進來的信息’。所有安全決定都應該有一個潛在假設，即任何在理論上可以被人或事所應用的都可以在現(xiàn)實中被應用。，他就可以通過這種方法訪問內部的數(shù)據(jù)庫。（SQL 指令植入式攻擊）下面幾節(jié)介紹了針對網(wǎng)絡應用程序的不同的攻擊方法的例子并提供了對如何在安全編程中避免這些攻擊的方法。交叉資料站腳本攻擊CrossSite Scripting (XSS)描述 交叉資料站腳本攻擊（XSS）是通過植入惡意腳本代碼或者其他間接的方式，如轉向其他服務器，邏輯攻擊如替代圖片或者改變樣式表，從而用來作用于相關的HTML頁面。攻擊者找到特定的HTML頁面，在這些頁面用戶的輸入將被寫回到HTML，比如登陸界面會第二次顯示當?shù)顷懯r的信息。這些例子展示了潛在的對XSS攻擊的安全漏洞，既用戶輸入的內容可能被寫回到html頁面。 由于html是基于標記這個事實，瀏覽器甚至可以編譯和執(zhí)行Javascript 或者包含惡意腳本命令的ActiveX 控件。這些命令在其他人打開這些HTML頁面的同時被執(zhí)行。ActiveX 控件攻擊的結果如下：?? 黑客可以讀取/更改/刪除一些其他用戶本地硬盤上的資料. ?? 應用程序可能在其他用戶權限下執(zhí)行。?? 黑客可能安裝其他的應用程序如木馬程序. Java或者 VBscript 潛在攻擊結果可能是：?? 使瀏覽器進入一個死循環(huán). ?? . ?? 獲取所有用戶的輸入（信用卡號等）并發(fā)送到黑客的服務器上. ?? 獲取用戶的cookies (截獲session, 修改cookie). ?? 在標記中插入新的腳本標記作為輸出。比方說，在特定事件發(fā)生的時候增加一個新的事件處理器。例子代碼1: a href=javascript:alert()。Click me!/a 代碼2: img src=filename onclick=alert()。 代碼3: textarea onchange=alert()。 我需要做什么? 避免XSS攻擊的基本規(guī)則: ?? 輸入約束. ? 設計一個代碼表(如. charset = ISO88591)詳細的說明哪些字符代碼是有問題的. ? 過濾掉依賴于解釋器的關鍵字(HTML, 瀏覽器,文件系統(tǒng)等.). ? 限定那些特別允許使用的字符代碼的變量. ?? 規(guī)范化, 舉例來說， “規(guī)范化”這一章. ?? : ? 輸入項的長度, ? 數(shù)據(jù)類型, ? 范圍(如. 日期, 郵政編號), ? 白名單, 只包含那些已知的沒有問題的字符代碼. ?如果用戶允許在輸入項內輸入一個鏈接，必須對URL的域進行限制并且只允許選用驗證過的URL. ? 在HTML頁面下，必須將輸入的值封裝在引號標記內。這將保證黑客輸入的值（如“HUGO”)在兩個‘’之間。也只有這個情況惡意代碼可以通過一個簡單的對’”’的樣式過濾被發(fā)現(xiàn). 例子: form name=HUGO input type=text name=user value=30 /form 忽略引號標記就會使一個XSS攻擊變得容易。因為攻擊者不需要把內容放在任何‘’標記內，因此也就更難從HTML頁面內過濾惡意代碼。不好的例子: form name=HUGO input type=text name=user value=30 /form ?? 輸出編碼. ?對用戶的輸入進行編碼，這樣任何輸入的腳本將被阻止以可執(zhí)行的形式傳給用戶。 ?根據(jù)輸出的內容轉化關鍵字符, 如. “” 轉化為 amp。lt。 , “”轉化為amp。gt。 , “””轉化為amp。quot。. ? 用SAP NetWeaver 平臺提供的輸出編碼架構, 例子代碼1: ? 部分公司的內部網(wǎng)應用程序: public void doContent(...) { ... String s。 if ((s = getUsernameByID(userid)) != null) { (brApplicant:u + s + /u)。 } ... } 假定輸出: brApplicant:uSmith/u ? 交叉資料站腳本CrossSite Scripting (XSS)攻擊例子: 在user name內的數(shù)據(jù)輸入: script(39。 form name=hack method=post action= input type=hidden name=sid value=39。 + escape() + 39。39。)。 ()。 /script Smith ?交叉資料站腳本CrossSite Scripting (XSS)攻擊結果:在公司內部網(wǎng)中，HTML 輸出包含了應用程序的輸入: brApplicant:u script(‘ form name=hack method=post action= input type=hidden name=sid value=39。 + escape() + 39。39。)。 ()。/script Smith /u 可視的輸出: Applicant: Smith ? 跨站腳本（XSS）安全代碼: 用來提高安全性的函數(shù): public void doContent(...) { ... String s。 if ((s = getUsernameByID(userid)) != null) { s = (s, 50)。 (brApplicant:u + s + /u)。 } ... } 通過SAP NetWeaver平臺我們可以得到什么？a) 使用SAP輸出加密結構: 你可以使用SAP輸出加密結構來防止跨站腳本病毒的攻擊。當你以一個應用程序開發(fā)者來編寫HTML代碼的時候可以使用這個結構。在完成之前手動加密用戶補充的輸出部分。任何插入的腳本都不能以可執(zhí)行形態(tài)傳輸給用戶。該函數(shù)通常適用下列環(huán)境（參見SAP Note 866020):? SAP NetWeaver ’04, SP14. For ABAP, kernel patch 87 or higher should be used. ? SAP NetWeaver 2004s, SP5. For ABAP, kernel patch 21 or higher should be used. 在ABAP里，正如下面章節(jié)里將要提到的，你可以使用class CL_HTTP_UTILITY 里包含的一些函數(shù)。一般來說，需要區(qū)別對待四種類型的跨站腳本(XSS)攻擊: ?? 類型 1 跨站腳本（XSS）攻擊發(fā)生在一組對應標簽之間: head title[CASE1]/title /head table tr tdUsername/td td[CASE1]/td /tr /table 跨站腳本（XSS）攻擊例子: head titlescriptalert()。/script/title /head table tr tdUsername/td tdimg src=javascript:alert()。/td /tr /table ABAP class CL_HTTP_UTILITY 里的效用函數(shù)ESCAPE_HTML 可用作輸出加密: Data: i_unescaped type string, e_escaped