【文章內容簡介】 f ESAPIPublic void logout(){().killCookie((),(),)。HttpSession session=().getSession(false)。if(session!=null){removeSession(session)。()。}().killCookie((),(),JSESSIONID)。loggedIn=false。(,Logout successful)。().setCurrentUser()。}應用程序常常產生錯誤信息并顯示給使用者。很多時候，這些錯誤信息是非常有用的攻擊，因為它們揭示實施細則或有用的開發(fā)信息利用的漏洞。216。 泄露太多的細節(jié)（如錯誤堆棧跟蹤信息、SQL語句等等）；216。 登錄失敗后，通知用戶是否用戶ID或密碼出錯——登錄失敗可能是由于ID或密碼錯誤造成的。這為一個對關鍵資產發(fā)動蠻力攻擊的攻擊者提供重要信息。errorpageexceptiontype/exceptiontypelocation//location/errorpage針對登錄嘗試的攻擊，可以使用相同的報錯信息，比如都是提示輸入的用戶名或者密碼錯誤！。與認證和會話管理相關的應用程序功能往往得不到正確實施，這就導致攻擊者破壞密碼、密匙、會話令牌或利用實施漏洞冒充其他用戶身份。這些漏洞可能導致部分甚至全部帳戶遭受攻擊。一旦攻擊成功，攻擊者能執(zhí)行合法用戶的任何操作。因此特權帳戶會造成更大的破壞。216。 使用內置的會話管理功能。216。 通過認證的問候：216。 使用單一的入口點。216。 確保在一開始登錄SSL保護的網頁。216。 獲取注銷的權利；216。 添加超時；216。 確保你使用的是安全相關的功能；216。 使用強大的認證；216。 不進行默認身份驗證//BADDON39。TUSEPublic boolean login(String username,Stringpassword){Boolean isAuthenticated=true。try{//makecalls to backend to actually perform login against datastoreif(!authenticationSuccess){isAuthenticated=false。}}catch(Exceptione){//handleexc}returnisAuthenticated。}保護與加密敏感數據已經成為網絡應用的最重要的組成部分。簡單不加密的敏感數據是非常普遍。不加密的應用程序設計不當往往含有密碼，或者使用不恰當的密碼或密碼作出強烈的嚴重錯誤使用。這些缺陷可以導致違反披露敏感數據的遵守。216。 攻擊者能夠取得或是篡改機密的或是私有的信息；216。 攻擊者通過這些秘密的竊取從而進行進一步的攻擊；216。 造成企業(yè)形象破損，用戶滿意度下降，甚至會有法律訴訟等。216。 驗證你的結構216。 識別所有的敏感數據；216。 識別這些數據存放的所有位置；216。 確保所應用的威脅模型能夠應付這些攻擊；216。 使用加密手段來應對威脅216。 使用一定的機制來進行保護216。 文件加密；216。 數據庫加密；216。 數據元素加密。216。 正確的使用這些機制216。 使用準的強算法；216。 合理的生成，分發(fā)和保護密鑰；216。 準備密鑰的變更。216。 驗證實現方法216。 確保使用準的強算法；216。 確保所有的證書、密鑰和密碼都得到安全的存放；216。 有一個安全的密鑰分發(fā)和應急處理的方案；對于不加密的應用程序的網絡信息傳輸，需要保護敏感的通信。加密（通常SSL）的，必須用于所有身份驗證的連接，特別是通過Internet訪問的網頁，以及后端的連接。否則，應用程序將暴露身份驗證或會話令牌。255。攻擊者能夠取得或是篡改機密的或是私有的信息；255。攻擊者通過這些秘密的竊取從而進行進一步的攻擊；255。造成企業(yè)形象破損，用戶滿意度下降，甚至會有法律訴訟等。216。 提供合理的保護機制216。 對于敏感數據的傳輸，對所有連接都要使用TLS；216。 在傳輸前對單個數據都要進行加密；（如XMLEncryption）216。 在傳輸前對信息進行名；（如XMLSignature）216。 正確的使用這些機制216。 使用準的強算法；216。 合理管理密鑰和證書；216。 在使用前驗證SSL證書這個漏洞事實上也是與認證相關的，與我們前面提到的Top4不安全的直接對象引用也是類似的，不同在于這個漏洞是說系統已經對URL的訪問做限制，但這種限制卻實際并沒有生效。常見的錯誤是，我們在用戶認證后只顯示給用戶認證過的頁面和菜單選項，而實際上這些僅僅是表示層的訪問控制而不能真正生效，攻擊者能夠很容易的就偽造請求直接訪問未被授權的頁面。我們舉個例子來說明這個過程：攻擊者發(fā)現他自己的訪問地址為/user/getAccounts；他修改他的目錄為/admin/getAccounts或/manager/getAccounts；這樣攻擊者就能夠查看到更多的賬戶信息。對每個URL，我們必須做三件事：216。 如果這個URL不是公開的，那么必須限制能夠訪問他的授權用戶252。 加強基于用戶或角色的訪問控制；252。 完全禁止訪問未被授權的頁面類型（如配置文件、日志文件、源文件等）216。 驗證你的構架252。 在每一個層次都使用簡單肯定的模型；252。 確保每一層都有一個訪問機制216。 驗證你的實現252。 不要使用自動化的分析工具；252。 確保每個URL都被外部過濾器或其他機制保護；252。 確保服務器的配置不允許對非授權頁面的訪問u 實例public boolean isAuthorized(Object key,Object runtimeParameter)。public voidassertAuthorized(Object key,Object runtimeParameter) throwsAccessControlException。boolean isAuthorizedForURL(String url)。boolean isAuthorizedForFunction(String functionName)。boolean isAuthorizedForData(String action,Objectdata)。boolean isAuthorizedForFile(String filepath)。boolean isAuthorizedForService(String serviceName)。voidassertAuthorizedForURL(String url)throwsAccessControlException。voidassertAuthorizedForFunction(String functionName) throwsAccessControlException。voidassertAuthorizedForData(String action,Objectdata) throwsAccessControlException。voidassertAuthorizedForFile(String filepath)throws AccessControlException。voidassertAuthorizedForService(String serviceName) throwsAccessControlException。 PHP簡介 PHP介紹216。 PHP是一種非常容易上手的腳本語言，在web上應用十分廣泛。216。 PHP的開發(fā)者已經考慮到很多安全問題，設置相當靈活。216。 PHP自身提供的安全模式能夠在很大程度避免在程序的安全問題，但也給編程帶來一些麻煩。216。 safe_mode=On216。 php_admin_valuesafe_mode1216。 safe_mode_gid=On216。 safe_mode_exec_dir=/usr/local/php/exec216。 safe_mode_include_dirstring216。 safe_mode_allowed_env_varsstring216。 safe_mode_protected_env_varsstring如果覺得有些函數還有威脅，（），比如：di