【正文】 措施預(yù)防CSRF攻擊相當(dāng)困難，但并非無法預(yù)防。用戶能夠采用的最佳防御手段是采取適當(dāng)?shù)牟襟E，保證可信會話不會被攻擊者所利用。 完成任務(wù)后退出可信會話。 讓網(wǎng)站記住你的登錄用戶名和密碼時(shí)要小心。留在客戶端的登錄信息可能會攻擊者加以利用。 在完成可信會話后刪除所有cookie。 在努力編寫不易受到CSRF攻擊的應(yīng)用程序時(shí)，網(wǎng)站開發(fā)者面臨更大的挑戰(zhàn)。下面是一些應(yīng)該考慮的應(yīng)對措施： 設(shè)定短暫的可信用戶會話時(shí)間。 每次提出一個(gè)可信行為時(shí)，對發(fā)出請求的用戶進(jìn)行驗(yàn)證。 在URL和表單中增加的每個(gè)請求nonce提供基本會話令牌以外的每個(gè)請求用戶驗(yàn)證。 從應(yīng)用程序中刪除所有XSS脆弱性。攻擊者通過XSS可獲得有用的攻擊信息。例如，攻擊者可以偽造一個(gè)提示用戶輸入身份信息的表單。 錯(cuò)誤處理不當(dāng) 描述如果應(yīng)用程序或底層基礎(chǔ)設(shè)施中出現(xiàn)一個(gè)錯(cuò)誤時(shí)向用戶提供過多信息，就會造成錯(cuò)誤處理不當(dāng)問題。下表列出一些用戶或攻擊者處理這個(gè)問題常用的方法： 查明堆棧跟蹤——堆棧跟蹤為程序員提供詳盡的信息，說明錯(cuò)誤發(fā)生前調(diào)用了哪些程序或函數(shù)。相同的信息還可為計(jì)算機(jī)罪犯提供函數(shù)、對象名稱，以及其它設(shè)計(jì)針對報(bào)告錯(cuò)誤的系統(tǒng)的攻擊的相關(guān)情況。 提供系統(tǒng)名稱——了解目標(biāo)網(wǎng)絡(luò)是計(jì)劃實(shí)施攻擊的第一個(gè)步驟。這個(gè)過程會得到一組系統(tǒng)（按名稱）、IP地址、位置和網(wǎng)絡(luò)服務(wù)配置等。允許錯(cuò)誤消息返回部分或全部這種信息使得攻擊者更容易發(fā)生攻擊。 確認(rèn)某個(gè)文件——如果未獲得授權(quán)的用戶企圖訪問某個(gè)文件，返回的錯(cuò)誤消息會告訴她沒有取得訪問那個(gè)資源的授權(quán)。如果她是一名試圖定位某個(gè)包含敏感信息的文件的攻擊者，錯(cuò)誤消息就為她提供了肯定信息。 登錄失敗后，通知用戶是否用戶ID或密碼出錯(cuò)——登錄失敗可能是由于ID或密碼錯(cuò)誤造成的。這為一個(gè)對關(guān)鍵資產(chǎn)發(fā)動(dòng)蠻力攻擊的攻擊者提供重要信息。 揭示數(shù)據(jù)庫、字段和表名稱——在計(jì)劃實(shí)施SQL注入之類的攻擊時(shí)，與數(shù)據(jù)庫有關(guān)的信息十分重要。 與入侵防御基礎(chǔ)設(shè)施有關(guān)的信息——任何設(shè)備或系統(tǒng)都可以提供詳細(xì)的錯(cuò)誤消息。它們甚至可能提供避開IDS和IPS系統(tǒng)所需的信息。 控制措施減輕由于不當(dāng)?shù)腻e(cuò)誤消息造成的風(fēng)險(xiǎn)并不是太困難。你必須保持警惕，確保堵塞住泄露網(wǎng)絡(luò)信息的漏洞——不管是新應(yīng)用程序還是現(xiàn)有應(yīng)用程序中的漏洞。以下是一些建議：1. 找出并處理所有應(yīng)用程序錯(cuò)誤。決不要認(rèn)為應(yīng)用程序中的默認(rèn)錯(cuò)誤消息能夠?yàn)槠髽I(yè)中的敏感信息提供足夠的保護(hù)。這包括自定義Web服務(wù)器錯(cuò)誤頁面。 2. 用戶屏幕上顯示的錯(cuò)誤消息應(yīng)包含對支持或恢復(fù)有用的信息，而不提供環(huán)境信息。例如，你可以提供如圖A所示的消息。錯(cuò)誤代碼50025僅對支持和編程團(tuán)隊(duì)有用，但對用戶或潛在的攻擊者無益。3. 編寫必要的詳細(xì)錯(cuò)誤信息，用于錯(cuò)誤調(diào)試，并保存在一個(gè)安全的位置。安全位置包括應(yīng)用程序事件日志或其它一些限制訪問的安全文件。 4. OWASP建立使用WebScarab這類工具強(qiáng)制應(yīng)用程序生成錯(cuò)誤。這是一種確保采用“最大努力”方法，確定任何有助于攻破目標(biāo)系統(tǒng)或網(wǎng)絡(luò)的錯(cuò)誤的方法。 5. 每個(gè)應(yīng)用程序都應(yīng)包含一個(gè)標(biāo)準(zhǔn)的錯(cuò)誤處理框架來處理異常。每次開發(fā)一個(gè)應(yīng)用程序時(shí)，開發(fā)者不必重新開發(fā)處理異常的程序。另外，以上框架應(yīng)作為一個(gè)指導(dǎo)，為開發(fā)團(tuán)隊(duì)隱藏敏感系統(tǒng)或網(wǎng)絡(luò)信息提供幫助。 圖A 錯(cuò)誤消息 失效的賬戶和線程管理類的威脅 描述失效的賬戶及線程管理涉及到很多內(nèi)容。實(shí)際上，它 包含了與用戶驗(yàn)證有關(guān)的全部內(nèi)容以及與活動(dòng)線程管理有關(guān)的全部內(nèi)容。嚴(yán)重的時(shí)候，賬戶和線程管理的漏洞會導(dǎo)致用戶和管理員出現(xiàn)接入問題。而且線程劫持攻擊也會更頻繁的出現(xiàn)，導(dǎo)致系統(tǒng)中的敏感數(shù)據(jù)丟失。在OWASP文檔中定義的此類問題一般都伴隨著認(rèn)證功能出現(xiàn)，比如退出登錄，密碼管理，超時(shí)，密碼記憶，保密問題，賬戶升級等。 控制措施 密碼存儲在存儲密碼時(shí)，一定要注意密碼保護(hù)。保護(hù)存儲密碼的方法有兩種，哈希數(shù)列演算或者對密碼加密。當(dāng)對密碼采用哈希算法后，會產(chǎn)生一個(gè)字符串，這個(gè)字符串又叫哈希數(shù)列，是無法通過逆向運(yùn)算找到原始密碼的。這是密碼存儲中一個(gè)相當(dāng)安全的方式。加密方式有些類似于哈希數(shù)列演算方式，不過通過某種算法可以從加密后的字符串中破解出原始密碼。雖然這種方式要比明文保存密碼安全的多，但仍然給黑客留下了破解密碼的可乘之機(jī)。最后要記住，千萬不要將密碼直接寫入Web應(yīng)用程序的源代碼中。 保護(hù)傳輸憑證不論你如何保護(hù)用戶的密碼或其它信息，用戶在訪問服務(wù)的過程中，難免會出現(xiàn)各種問題，而這些問題很可能為黑客獲取密碼制造了機(jī)會。為了保護(hù)信息的安全，首先要遵守的規(guī)則就是永遠(yuǎn)不要用明文形式發(fā)送密碼。很多開發(fā)人員都會采用發(fā)送密碼哈希字符串的方式代替直接發(fā)送密碼，這是一個(gè)不錯(cuò)的方式。服務(wù)器會尋找與之匹配的密碼哈希字串，如果字串相符，則確定用戶身份。但是如果黑客在客戶機(jī)向服務(wù)器發(fā)送哈希碼的時(shí)候攔截到了哈希碼，黑客就可以從數(shù)據(jù)包中提取這個(gè)哈希碼，并通過用戶ID以及這個(gè)哈希碼從服務(wù)器獲取用戶的信息，并直接訪問一些需要身份驗(yàn)證才能看到的資源。因此，在這些情況下應(yīng)該采用SSL連接，加密全部線程。這樣黑客就不會輕易的定位到數(shù)據(jù)包中的用戶ID和密碼的哈希數(shù)列了。SSL也應(yīng)該用在其它需要在客戶機(jī)和服務(wù)器間傳遞敏感信息的情況。 保護(hù)線程IDs這個(gè)漏洞與傳輸憑證過程中存在的漏洞相似，如果黑客在數(shù)據(jù)包中截獲了用戶的線程ID，就可以對其進(jìn)行劫持。Session hijacking就是這樣的工具，可以利用合法用戶的訪問線程，訪問任何對合法用戶來說有效的資源。防止這種攻擊應(yīng)該遵循一下原則：1. .Session IDs 要足夠復(fù)雜. 2. .Session IDs 在線程過程中要經(jīng)常變換. 3. 系統(tǒng)不能接受用戶指定的線程IDs. 4. Session IDs 不能包含 URLs. 就算有以上保護(hù)措施，還是應(yīng)該采用SSL連接來保護(hù)所有用戶線程。 保護(hù)帳號列表阻止黑客利用用戶賬戶登錄系統(tǒng)的一個(gè)方法就是保護(hù)合法賬戶的帳戶列表。本安全指南對此就不再展開了。作為一個(gè)整體的Web程序安全方案，保護(hù)好合法賬戶列表可以增加黑客入侵系統(tǒng)的難度。 管理程序組件的信任關(guān)系Web應(yīng)用程序組件之間不應(yīng)該含有內(nèi)在的信任關(guān)系。每個(gè)組件在傳遞敏感信息前，都應(yīng)該要求其它組件提供驗(yàn)證信息。一旦策略，標(biāo)準(zhǔn)和指導(dǎo)方案確定下來，需要保證各方面的一致性了。以下有兩種方式，第一是檢查代碼。但由于逐行檢查代碼的工作量太大。如果沒有能力采用自動(dòng)化的代碼安全檢查工具，至少要對重點(diǎn)代碼進(jìn)行安全方面的審查。其次進(jìn)行滲透性測試。常用的滲透性測試可以幫助你確定Web應(yīng)用程序組件在用戶交互方面以及與其它組件間的交互性上存在的漏洞。 加密存儲不安全 描述加密存儲不安全是指敏感信息沒有采取合理適當(dāng)?shù)募用艽胧┚捅４嬖谝资曰蚍且资源鎯ζ髦?。換句話說，將未加密的密碼、加密密鑰等保存在攻擊者可能訪問到的位置，這種做法并不合適。在Web或應(yīng)用程序服務(wù)器上常常有用戶ID和密碼以明文形式保存在文本文件中。開發(fā)者使用非標(biāo)準(zhǔn)加密算法——包括他們自己創(chuàng)立的算法——加密敏感信息的做法也相當(dāng)普遍。在這兩種情況下，知道信息位置的內(nèi)外攻擊者就可以相對容易地訪問這些有價(jià)值的信息。最后說說數(shù)據(jù)庫。數(shù)據(jù)庫是企業(yè)所有關(guān)鍵和敏感信息的存儲倉庫。每個(gè)數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫或表的安全等級取決于其中存儲數(shù)據(jù)的分級。簡單使用用戶ID和密碼訪問控制可能不足以說明應(yīng)有的注意（due diligence）。 確認(rèn)存在加密存儲不安全脆弱性根據(jù)OWASP，沒有有效的方法可以探測加密方法或算法中存在的弱點(diǎn)。確定組織的加密方法是否合理的最佳方法是檢查歸檔的過程和政策。組織應(yīng)保證對敏感信息的脆弱性進(jìn)行風(fēng)險(xiǎn)評估檢查。他們應(yīng)當(dāng)確認(rèn)密碼、密鑰和證書依照文檔化的規(guī)程得到正確的保護(hù)。 控制措施如何保證安全存儲在商業(yè)環(huán)境下，將基于職位的訪問控制方法和加密措施互為補(bǔ)充是保護(hù)存儲數(shù)據(jù)的最佳方法。但是，加密也帶來一些新的安全問題。以下是OWASP就維護(hù)有效加密環(huán)境所提出的一些建議： 不要建立加密算法：選擇一個(gè)已經(jīng)通過公眾審查的加密庫。確保你選擇的庫中沒有公開的脆弱性。 不要使用不嚴(yán)格的算法：不要使用已知被攻破的加密算法。為處理環(huán)境使用最強(qiáng)大的加密算法。 離線生成密鑰，小心保存私有密鑰：確保安全存儲密鑰、證書和密碼。將主密鑰分解成兩部分，在運(yùn)行時(shí)重新組合。 確?；A(chǔ)架構(gòu)證明書，如哪些數(shù)據(jù)庫或消息隊(duì)列訪問細(xì)節(jié)，得到安全保護(hù)。 決不要保存不必要的數(shù)據(jù)：最容易保護(hù)的數(shù)據(jù)是最初沒有存儲的數(shù)據(jù)。決不要保存沒有絕對可操作必要性的敏感信息。例如PCI標(biāo)準(zhǔn)中，要求不允許在數(shù)據(jù)庫中保存用戶信用卡的驗(yàn)證碼。 通信不安全 描述如果信息僅僅保存在磁盤的某個(gè)地方，它就沒有價(jià)值可言。要具有商業(yè)價(jià)值，數(shù)據(jù)必須提交給終點(diǎn)設(shè)備或服務(wù)器處理。但是，傳輸過程中的數(shù)據(jù)最容易受到攻擊。通信不安全是由于無法合理保障內(nèi)外信息接口的安全而造成的。最明顯的不安全接口是通過互聯(lián)網(wǎng)遠(yuǎn)程訪問敏感數(shù)據(jù)。如果首先沒有建立一個(gè)安全會話，無論如何都不要應(yīng)用這種訪問。使用SSL是實(shí)現(xiàn)這種訪問的最常用方法。由公司所有和控制的終端設(shè)備也可以配置VPN在互聯(lián)網(wǎng)上建立一個(gè)“私有”連接。在組織間傳輸數(shù)據(jù)是另一種常見的外部接口。例如，一家醫(yī)療保健公司可能會傳送不安全的信息給票據(jù)交換所進(jìn)行處理。ePHI大量傳輸這類文件。如果需要更加持久的連接，VPN是一種不錯(cuò)的解決方案。如果一天只需要傳送一次文件，只需要使用臨時(shí)SSL連接或使用安全FTP就足夠了。最后，在內(nèi)部網(wǎng)絡(luò)的DMZ和數(shù)據(jù)庫服務(wù)器中，互聯(lián)網(wǎng)和應(yīng)用程序服務(wù)器之間也存在連接。對這兩種類型的設(shè)備上的數(shù)據(jù)進(jìn)行加密，SSL或IPSec為最佳選擇。盡管比外部接口更加安全，但內(nèi)部網(wǎng)絡(luò)設(shè)備之間的連接可能會將數(shù)據(jù)暴露在更大的風(fēng)險(xiǎn)之中。如果數(shù)據(jù)穿過可信邊界，這種情況特別明顯。當(dāng)數(shù)據(jù)在不同信任/安全等級的位置間移動(dòng)時(shí)，可信邊界即被跨越。例如，在從一個(gè)高度可信的VLAN，經(jīng)過一個(gè)低度可信的網(wǎng)段，傳送至一個(gè)二級可信VLAN的過程中，數(shù)據(jù)就必須經(jīng)過加密處理。 控制措施使用脆弱性掃描器對外部接口進(jìn)行掃描是一個(gè)良好的開端。這種方法可以定位不安全的接口和SSL配置中潛在的弱點(diǎn)。接口掃描應(yīng)該和內(nèi)部網(wǎng)段的脆弱性掃描結(jié)合起來使用。應(yīng)當(dāng)確定可信邊界，建立威脅模式，以識別潛在的攻擊向量。 無法限制URL訪問 描述這個(gè)脆弱性在直接對象參考不安全進(jìn)行了簡單地說明。存在這種弱點(diǎn)的Web應(yīng)用程序/站點(diǎn)允許攻擊者通過“猜測”地址找到URL。這是“通過審查確保安全”不足以保護(hù)的一個(gè)例子。 控制措施和直接對象參考不安全脆弱性一樣，開發(fā)者和網(wǎng)站管理員必須小心鎖定存儲有不公開頁面和文件的文件夾或目錄。在微軟Windows環(huán)境中，首先可以建立NTFS和共享許可。OWASP Top 10提供的其它建議包括： 執(zhí)行滲透測試：總是先確定潛在的攻擊向量并測試應(yīng)用程序的脆弱性。你可以在《通過提出正確的問題開始管理風(fēng)險(xiǎn)》一文中找到實(shí)施這個(gè)建議的最佳方法。 密切注意包括/庫文件：這些文件應(yīng)盡可能保存在Web根目錄之外，并且只能用安全的應(yīng)用程序方法進(jìn)行訪問。 阻止訪問所有應(yīng)用程序從不處理的文件類型。 網(wǎng)站 / Web: 項(xiàng)目經(jīng)理： 謝春剛電郵/Email:xiechungang@ 電話/Tel： 189100803