【文章內(nèi)容簡介】 確的有效性檢測。 必須保證數(shù)組沒有越界，增加數(shù)組操作函數(shù)的邊界檢查。 安全地使用字符串處理函數(shù)，慎用有安全隱患的字符串處理函數(shù) 使用Format 字符串的時候特別注意Unicode 和ANSI 的大小不一致的情況。 注意字符串結(jié)束符的保護。 仔細研究庫函數(shù)內(nèi)部的緩沖區(qū)分配，明確其限制。不能使用realpath ( )等函數(shù)，如果功能需要必須使用時，一定要檢查試圖規(guī)范化的路徑的長度，確保其不長于MAXPATHLEN。 時刻進行邊界檢查。建議使用一些檢查工具：Purify、Stackguard 等檢查代碼，保證沒有緩沖區(qū)溢出的問題。 使用固定的格式化字符串，或者來自可信源的格式化字符串。 要檢查并限定locale 的請求為合法值。 不能將用戶輸入直接作為格式化字符傳給格式化函數(shù)。 對于涉及到內(nèi)存分配大小的計算，要進行仔細檢查，確保計算不會產(chǎn)生溢出。 對于涉及到數(shù)組索引的計算，要進行仔細檢查，確保計算不會產(chǎn)生溢出。 要使用無符號整數(shù)表示數(shù)組偏移和內(nèi)存分配大小。 注入代碼安全 要檢查輸入的有效性和可信度。 要使用參數(shù)化的查詢、占位符、或者參數(shù)綁定來構(gòu)造SQL 語句。 要在程序之外存儲數(shù)據(jù)庫的連接信息，比如經(jīng)過保護的配置文件或者Windows 注冊表。 即使使用的是存儲過程，也不能使用字符串連接來構(gòu)造SQL 語句。 不能在存儲過程內(nèi)部使用字符串連接來構(gòu)造SQL 語句。 不能在存儲過程內(nèi)部執(zhí)行不可信的參數(shù)。 不能簡單地雙寫單引號或者雙引號。 不能使用高權(quán)限賬號連接數(shù)據(jù)庫，比如sa 或者root。 不能在程序或者連接字符串中存儲登錄口令。 不能在Web 根目錄下存儲數(shù)據(jù)庫配置信息。1 應(yīng)從數(shù)據(jù)庫中刪除對所有用戶自定義表的訪問權(quán)限，同時只對存儲過程授權(quán)，然后使用存儲過程以及參數(shù)化的查詢來構(gòu)造查詢字符串。 在輸入命令傳遞給命令處理程序之前要進行驗證。 如果輸入驗證失敗，要安全地處理失敗信息。 不能向任何命令解釋器傳遞未驗證的輸入信息，即使這些輸入僅僅是數(shù)據(jù)信息。 避免使用正則表達式來進行輸入驗證，應(yīng)手工去寫一些簡單而又清晰的驗證代碼。 要檢測每個安全相關(guān)函數(shù)的返回值。 對于每一個更改用戶設(shè)定或者及其設(shè)定的函數(shù)，都要檢查其返回值。 要有從錯誤條件中進行恢復(fù)的考慮，避免拒絕服務(wù)攻擊。 不能一次性處理所有的異常，要將異常情況進行分類處理，避免在異常處理代碼中的漏洞發(fā)生。 要對所有基于Web 的輸入進行輸入驗證和可信度驗證。 在沒有驗證合法性之前，不能對基于Web 的輸入進行回顯。 不能在cookie 中存儲敏感數(shù)據(jù)。 要使用強大的初始認證機制。 對應(yīng)用程序所產(chǎn)生的所有網(wǎng)絡(luò)流量都要執(zhí)行過程中消息認證。 盡可能使用SSL/TLS 進行網(wǎng)絡(luò)加密傳輸。 確?？诹钤诰W(wǎng)絡(luò)上認證時不被竊聽。 要在登錄失敗時給出錯誤提示，并記錄失敗口令嘗試。 盡可能使用基于hash 強壯的單向加密函數(shù)進行口令存儲。 為用戶更改口令提供安全的機制。 不得使用默認賬號和默認口令，若使用，必須在首次登錄后進行修改。 不得在程序、后臺存儲明文的口令。 口令要有一定的強度，應(yīng)當滿足系統(tǒng)的賬號口令策略要求。. SOCKET 網(wǎng)絡(luò)編程安全基本要求 在socket 函數(shù)調(diào)用時，明確參數(shù)中綁定的端口、IP 地址和網(wǎng)卡接口。Windows 環(huán)境下，在遇到多個網(wǎng)卡的情況時，需要通過注冊表來獲得網(wǎng)卡接口和IP 地址的信息，包括Windows NT 和windows 2000。 判斷連接的合法身份。即，為防止惡意的連接以及可能是無效的連接，建議在socket 連接期間，判斷連接的對端是否是合法的真正的連接。 對于UDP 連接，可以獲得連接對方的IP 地址和端口，從而可以判斷對方的有效性和合法性；對于TCP 連接，由于每次連接需要三次握手，而且還有超時機制，存在兩種方式來控制。 對于TCP 連接，需要盡量在三次握手完成前完成判斷，同時防止端口掃描的攻擊。 盡可能確保socket 應(yīng)用能通過合理設(shè)置的防火墻。 在可能的情況下，盡量減少socket 連接數(shù)目。 盡量不能使用回撥的技術(shù)。 盡量采用有連接狀態(tài)的協(xié)議，例如TCP 協(xié)議。由于防火墻一般采取禁止一切的策略，對于UDP 協(xié)議比較難以設(shè)置。 在一個應(yīng)用程序中，盡量使用同一種協(xié)議，不能使用多種協(xié)議。 盡量將客戶端和服務(wù)器端的端口做成可以配置，不能硬編碼在程序中。. JAVA 安全開發(fā)要求JAVA 語言安全規(guī)范參考OWASP TOP 10 要求，本指南列舉了常見的JAVA 開發(fā)安全要求。（XSS）跨站腳本是最普遍的Web 應(yīng)用安全漏洞。當應(yīng)用程序在發(fā)送給瀏覽器的頁面中包含用戶提供的數(shù)據(jù)，但沒有經(jīng)過適當驗證或轉(zhuǎn)譯，就容易導(dǎo)致跨站腳本漏洞。攻擊者能在受害者瀏覽器中執(zhí)行腳本以劫持用戶會話、危害網(wǎng)站、插入惡意內(nèi)容和重定向用戶等。已知三種著名跨站漏洞是：1）存儲式；2）反射式；3）基于DOM。反射式跨站腳本通過測試或代碼分析很容易找到。防范措施：驗證輸入檢查每個輸入的有效性，主要檢查輸入類型和數(shù)據(jù)的長度。編碼輸出對驗證輸入的另一面就是編碼輸出。 編碼輸出是指確保字符被視為數(shù)據(jù)，而不是作為HTML 元字符被瀏覽器解析。 這些技術(shù)定義一些特殊的“轉(zhuǎn)義”字符， 沒有正確轉(zhuǎn)義的數(shù)據(jù)它仍然會在瀏覽器中正確解析。 編碼輸出只是讓瀏覽器知道數(shù)據(jù)是不是要被解析，達到攻擊無法實現(xiàn)的目的。 需要編碼的部分： HTML 實體、HTML 屬性 、JavaScript 、CSS、URL。 注入簡單來說，注入往往是應(yīng)用程序缺少對輸入進行安全性檢查所引起的，攻擊者把一些包含指令的數(shù)據(jù)發(fā)送給解釋器，解釋器把收到的數(shù)據(jù)轉(zhuǎn)換成指令執(zhí)行。注入漏洞十分普遍，通常能在SQL 查詢、LDAP 查詢、Xpath 查詢、OS 命令、程序參數(shù)等中出現(xiàn)。注入能導(dǎo)致數(shù)據(jù)丟失或數(shù)據(jù)破壞、缺乏可審計性或是拒絕服務(wù)，注入漏洞有時甚至能導(dǎo)致完全接管主機。SQL 注入包含了SQL 注入、XPATH 注入、LDAP 注入、OS 命令注入等。惡意文件執(zhí)行是一種能夠威脅任何網(wǎng)站形式的漏洞，只要攻擊者在具有引入（include）功能程式的參數(shù)中修改參數(shù)內(nèi)容，Web 服務(wù)器便會引入惡意程序從而受到惡意文件執(zhí)行漏洞攻擊。攻擊者可利用惡意文件執(zhí)行漏洞進行攻擊取得Web 服務(wù)器控制權(quán)，進行不法利益或獲取經(jīng)濟利益。所謂“不安全的對象直接引用”，即Insecure direct object references，意指一個已經(jīng)授權(quán)的用戶，通過更改訪問時的一個參數(shù)，從而訪問到原本其并沒有得到授權(quán)的對象。Web 應(yīng)用往往在生成Web 頁面時會用它的真實名字，且并不會對所有的目標對象訪問時檢查用戶權(quán)限，所以這就造成了不安全的對象直接引用的漏洞。以下是不安全的對象直接引用示例：l攻擊者發(fā)現(xiàn)他自己的參數(shù)是6065， 即?acct=6065；l他可以直接更改參數(shù)為6066， 即?acct=6066；l這樣他就可以直接看到6066 用戶的賬戶信息了。這種漏洞能損害參數(shù)所引用的所有數(shù)據(jù)。除非名字空間很稀疏，否則攻擊者很容易訪問該類型的所有數(shù)據(jù)?？缯菊埱髠卧?，也被稱成為“one click attack” 或者session riding，通?？s寫為CSRF 或者XSRF，是一種對網(wǎng)站的惡意利用。它與XSS 非常不同，并且攻擊方式幾乎相左。XSS 利用站點內(nèi)的信任用戶，而CSRF 則通過偽裝來自受信任用戶的請求來利用受信任的網(wǎng)站。與XSS 攻擊相比，CSRF 攻擊往往不太流行（因此對其進行防范的資源也相當稀少）和難以防范，所以被認為比XSS 更具危險性。攻擊者能讓受害用戶修改可以修改的任何數(shù)據(jù)，或者是執(zhí)行允許使用的任何功能。應(yīng)用程序常常產(chǎn)生錯誤信息并顯示給使用者。很多時候，這些錯誤信息非常有用，因為它們揭示實施細則或有用的開發(fā)信息。l泄露太多的細節(jié)（如錯誤堆棧跟蹤信息、SQL 語句等等）；l登錄失敗后，通知用戶是否用戶ID 或密碼出錯——登錄失敗可能是由于ID 或密碼錯誤造成的。這為一個對關(guān)鍵資產(chǎn)發(fā)動蠻力攻擊的攻擊者提供重要信息。與認證和會話管理相關(guān)的應(yīng)用程序功能往往得不到正確實施，這就導(dǎo)致攻擊者破壞密碼、密鑰、會話令牌或利用實施漏洞冒充其他用戶身份。這些漏洞可能導(dǎo)致部分甚至全部賬號遭受攻擊。一旦攻擊成功，攻擊者能執(zhí)行合法用戶的任何操作，因此特權(quán)賬號會造成更大的破壞。編程要求：l 使用內(nèi)置的會話管理功能；l 通過認證的問候；l 使用單一的入口點；l 確保在一開始登錄SSL 保護的網(wǎng)頁；l 獲取注銷的權(quán)利；l 添加超時；l 確保你使用的是安全相關(guān)的功能；l 使用強大的認證；l 不進行默認身份驗證。保護敏感數(shù)據(jù)已經(jīng)成為網(wǎng)絡(luò)應(yīng)用的最重要的組成部分，加密的敏感數(shù)據(jù)已是非常常見安全保護手段。不加密的應(yīng)用程序、設(shè)計不當或者使用不恰當?shù)拿艽a技術(shù)等可能導(dǎo)致披露敏感數(shù)據(jù)。l 攻擊者能夠取得或是篡改機密的或是私有的信息；l 攻擊者通過機密秘密的竊取從而進行進一步的攻擊；l 造成企業(yè)形象破損，用戶滿意度下降，甚至面臨法律訴訟等。編程要求：l 驗證你的結(jié)構(gòu)；l 識別所有的敏感數(shù)據(jù)；l 識別敏感數(shù)據(jù)存放的所有位置；l 確保所應(yīng)用的威脅模型能夠應(yīng)付這些攻擊；l 使用加密手段來應(yīng)對威脅 ；l 使用一定的機制來進行保護l 文件加密；l 數(shù)據(jù)庫加密；l 數(shù)據(jù)元素加密；l 正確的使用這些機制；l 使用標準的強算法；l 合理的生成，分發(fā)和保護密鑰；l 準備密鑰的變更；l 驗證實現(xiàn)方法；l 確保所有的證書、密鑰和密碼都得到了安全的存放；l 有一個安全的密鑰分發(fā)和應(yīng)急處理的方案。對于不加密的應(yīng)用程序的網(wǎng)絡(luò)信息傳輸，需要保護敏感的通信。加密（通常SSL）必須用于所有身份驗證的連接，特別是通過Internet 訪問的網(wǎng)頁，以及后端的連接。否則，應(yīng)用程序?qū)⒈┞渡矸蒡炞C或會話令牌。l 攻擊者能夠取得或是篡改機密的或是私有的信息；l 攻擊者通過這些秘密的竊取從而進行進一步的攻擊；l 造成企業(yè)形象破損，用戶滿意度下降，甚至面臨法律訴訟等。編程要求：l 提供合理的保護機