【正文】 攻擊。一旦攻擊成功，攻擊者能執(zhí)行合法用戶(hù)的任何操作。因此特權(quán)帳戶(hù)會(huì)造成更大的破壞。 ? 解決之道 ? 使用內(nèi)置的會(huì)話(huà)管理功能。 ? 通過(guò)認(rèn)證的問(wèn)候： – 使用單一的入口點(diǎn)。 – 確保在一開(kāi)始登錄 SSL保護(hù)的網(wǎng)頁(yè)。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 64 ? 獲取注銷(xiāo)的權(quán)利； ? 添加超時(shí)； ? 確保你使用的是安全相關(guān)的功能； ? 使用強(qiáng)大的認(rèn)證； ? 不進(jìn)行默認(rèn)身份驗(yàn)證 //BAD DON39。T USE public boolean login(String username, String password) { boolean isAuthenticated = true。 try { //make calls to backend to actually perform login against datastore if (! authenticationSuccess) { isAuthenticated = false。 } } catch (Exception e) { //handle exc } return isAuthenticated。 } 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 65 不安全的加密儲(chǔ)存 ? 定義 保護(hù)與加密敏感數(shù)據(jù)已經(jīng)成為網(wǎng)絡(luò)應(yīng)用的最重要的組成部分。 簡(jiǎn)單不加密的敏感數(shù)據(jù)是非常普遍。 不加密的應(yīng)用程序設(shè)計(jì)不當(dāng)往往含有密碼，或者使用不恰當(dāng)?shù)拿艽a或密碼作出強(qiáng)烈的嚴(yán)重錯(cuò)誤使用。 這些缺陷可以導(dǎo)致違反披露敏感數(shù)據(jù)的遵守。 ? 危害 ? 攻擊者能夠取得或是篡改機(jī)密的或是私有的信息； ? 攻擊者通過(guò)這些秘密的竊取從而進(jìn)行進(jìn)一步的攻擊； ? 造成企業(yè)形象破損，用戶(hù)滿(mǎn)意度下降，甚至?xí)蟹稍V訟等。 ? 解決之道 ? 驗(yàn)證你的結(jié)構(gòu) – 識(shí)別所有的敏感數(shù)據(jù)； – 識(shí)別這些數(shù)據(jù)存放的所有位置； – 確保所應(yīng)用的威脅模型能夠應(yīng)付這些攻擊； – 使用加密手段來(lái)應(yīng)對(duì)威脅 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 66 ?使用一定的機(jī)制來(lái)進(jìn)行保護(hù) – 文件加密； – 數(shù)據(jù)庫(kù)加密； – 數(shù)據(jù)元素加密。 ?正確的使用這些機(jī)制 – 使用標(biāo)準(zhǔn)的強(qiáng)算法； – 合理的生成，分發(fā)和保護(hù)密鑰； – 準(zhǔn)備密鑰的變更。 ?驗(yàn)證實(shí)現(xiàn)方法 – 確保使用了標(biāo)準(zhǔn)的強(qiáng)算法； – 確保所有的證書(shū)、密鑰和密碼都得到了安全的存放； – 有一個(gè)安全的密鑰分發(fā)和應(yīng)急處理的方案； 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 67 不安全的通信 ? 定義 對(duì)于不加密的應(yīng)用程序的網(wǎng)絡(luò)信息傳輸，需要保護(hù)敏感的通信。 加密（通常 SSL）的，必須用于所有身份驗(yàn)證的連接，特別是通過(guò)Inter訪(fǎng)問(wèn)的網(wǎng)頁(yè)，以及后端的連接。 否則，應(yīng)用程序?qū)⒈┞渡矸蒡?yàn)證或會(huì)話(huà)令牌。 ? 危害 ? 攻擊者能夠取得或是篡改機(jī)密的或是私有的信息； ? 攻擊者通過(guò)這些秘密的竊取從而進(jìn)行進(jìn)一步的攻擊； ? 造成企業(yè)形象破損，用戶(hù)滿(mǎn)意度下降，甚至?xí)蟹稍V訟等。 ? 解決之道 ? 提供合理的保護(hù)機(jī)制 – 對(duì)于敏感數(shù)據(jù)的傳輸，對(duì)所有連接都要使用 TLS； – 在傳輸前對(duì)單個(gè)數(shù)據(jù)都要進(jìn)行加密；（如 XMLEncryption） – 在傳輸前對(duì)信息進(jìn)行簽名；（如 XMLSignature） 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 68 ?正確的使用這些機(jī)制 – 使用標(biāo)準(zhǔn)的強(qiáng)算法； – 合理管理密鑰和證書(shū)； – 在使用前驗(yàn)證 SSL證書(shū) 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 69 限制 URL訪(fǎng)問(wèn)失效 ? 定義 這個(gè)漏洞事實(shí)上也是與認(rèn)證相關(guān)的，與我們前面提到的 Top4不安全的直接對(duì)象引用也是類(lèi)似的，不同在于這個(gè)漏洞是說(shuō)系統(tǒng)已經(jīng)對(duì)URL的訪(fǎng)問(wèn)做了限制，但這種限制卻實(shí)際并沒(méi)有生效。常見(jiàn)的錯(cuò)誤是，我們?cè)谟脩?hù)認(rèn)證后只顯示給用戶(hù)認(rèn)證過(guò)的頁(yè)面和菜單選項(xiàng)，而實(shí)際上這些僅僅是表示層的訪(fǎng)問(wèn)控制而不能真正生效，攻擊者能夠很容易的就偽造請(qǐng)求直接訪(fǎng)問(wèn)未被授權(quán)的頁(yè)面。 我們舉個(gè)例子來(lái)說(shuō)明這個(gè)過(guò)程： 攻擊者發(fā)現(xiàn)他自己的訪(fǎng)問(wèn)地址為 /user/getAccounts； 他修改他的目錄為 /admin/getAccounts或 /manager/getAccounts； 這樣攻擊者就能夠查看到更多的賬戶(hù)信息了。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 70 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 71 ? 解決之道 ? 對(duì)每個(gè) URL，我們必須做三件事 – 如果這個(gè) URL不是公開(kāi)的，那么必須限制能夠訪(fǎng)問(wèn)他的授權(quán)用戶(hù)； – 加強(qiáng)基于用戶(hù)或角色的訪(fǎng)問(wèn)控制； – 完全禁止訪(fǎng)問(wèn)未被授權(quán)的頁(yè)面類(lèi)型（如配置文件、日志文件、源文件等） ? 驗(yàn)證你的構(gòu)架 – 在每一個(gè)層次都使用簡(jiǎn)單肯定的模型； – 確保每一層都有一個(gè)訪(fǎng)問(wèn)機(jī)制 ? 驗(yàn)證你的實(shí)現(xiàn) – 不要使用自動(dòng)化的分析工具； – 確保每個(gè) URL都被外部過(guò)濾器或其他機(jī)制保護(hù)； – 確保服務(wù)器的配置不允許對(duì)非授權(quán)頁(yè)面的訪(fǎng)問(wèn) 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 72 ? 實(shí)例 public boolean isAuthorized(Object key, Object runtimeParameter)。 public void assertAuthorized(Object key, Object runtimeParameter) throws AccessControlException。 boolean isAuthorizedForURL(String url)。 boolean isAuthorizedForFunction(String functionName)。 boolean isAuthorizedForData(String action, Object data)。 boolean isAuthorizedForFile(String filepath)。 boolean isAuthorizedForService(String serviceName)。 void assertAuthorizedForURL(String url) throws AccessControlException。 void assertAuthorizedForFunction(String functionName) throws AccessControlException。 void assertAuthorizedForData(String action, Object data) throws AccessControlException。 void assertAuthorizedForFile(String filepath) throws AccessControlException。 void assertAuthorizedForService(String serviceName) throws AccessControlException。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 73 實(shí)驗(yàn) ? 現(xiàn)場(chǎng)簡(jiǎn)單 XSS防護(hù)實(shí)驗(yàn) 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 74 ? 靜夜四無(wú)鄰，荒居舊業(yè)貧。 , March 4, 2023 ? 雨中黃葉樹(shù)，燈下白頭人。 11:52:5711:52:5711:523/4/2023 11:52:57 AM ? 1以我獨(dú)沈久，愧君相見(jiàn)頻。 :52:5711:52Mar234Mar23 ? 1故人江海別，幾度隔山川。 11:52:5711:52:5711:52Saturday, March 4, 2023 ? 1乍見(jiàn)翻疑夢(mèng)，相悲各問(wèn)年。 :52:5711:52:57March 4, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國(guó)見(jiàn)青山。 2023年 3月 4日星期六 上午 11時(shí) 52分 57秒 11:52: ? 1比不了得就不比，得不到的就不要。 。 2023年 3月 上午 11時(shí) 52分 :52March 4, 2023 ? 1行動(dòng)出成果，工作出財(cái)富。 2023年 3月 4日星期六 11時(shí) 52分 57秒 11:52:574 March 2023 ? 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線(xiàn)向前。 上午 11時(shí) 52分 57秒 上午 11時(shí) 52分 11:52: ? 沒(méi)有失敗，只有暫時(shí)停止成功！。 , March 4, 2023 ? 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒(méi)有。 11:52:5711:52:5711:523/4/2023 11:52:57 AM ? 1成功就是日復(fù)一日那一點(diǎn)點(diǎn)小小努力的積累。 :52:5711:52Mar234Mar23 ? 1世間成事，不求其絕對(duì)圓滿(mǎn)，留一份不足，可得無(wú)限完美。 11:52:5711:52:5711:52Saturday, March 4, 2023 ? 1不知香積寺，數(shù)里入云峰。 :52:5711:52:57March 4, 2023 ? 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 3月 4日星期六 上午 11時(shí) 52分 57秒 11:52: ? 1楚塞三湘接，荊門(mén)九派通。 。 2023年 3月 上午 11時(shí) 52分 :52March 4, 2023 ? 1少年十五二十時(shí)，步行奪得胡馬騎。 2023年 3月 4日星期六 11時(shí) 52分 57秒 11:52:574 March 2023 ? 1空山新雨后，天氣晚來(lái)秋。 上午 11時(shí) 52分 57秒 上午 11時(shí) 52分 11:52: ? 楊柳散和風(fēng)，青山澹吾慮。 , March 4, 2023 ? 閱讀一切好書(shū)如同和過(guò)去最杰出的人談話(huà)。 11:52:5711:52:5711:523/4/2023 11:52:57 AM ? 1越是沒(méi)有本領(lǐng)的就越加自命不凡。 :52:5711:52Mar234Mar23 ? 1越是無(wú)能的人，越喜歡挑剔別人的錯(cuò)兒。 11:52:5711:52:5711:52Saturday, March 4, 2023 ? 1知人者智，自知者明。勝人者有力，自勝者強(qiáng)。 :52:5711:52:57March 4, 2023 ? 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏