【正文】 攻擊。一旦攻擊成功，攻擊者能執(zhí)行合法用戶的任何操作。因此特權帳戶會造成更大的破壞。 ? 解決之道 ? 使用內置的會話管理功能。 ? 通過認證的問候： – 使用單一的入口點。 – 確保在一開始登錄 SSL保護的網(wǎng)頁。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 64 ? 獲取注銷的權利； ? 添加超時； ? 確保你使用的是安全相關的功能； ? 使用強大的認證； ? 不進行默認身份驗證 //BAD DON39。T USE public boolean login(String username, String password) { boolean isAuthenticated = true。 try { //make calls to backend to actually perform login against datastore if (! authenticationSuccess) { isAuthenticated = false。 } } catch (Exception e) { //handle exc } return isAuthenticated。 } 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 65 不安全的加密儲存 ? 定義 保護與加密敏感數(shù)據(jù)已經(jīng)成為網(wǎng)絡應用的最重要的組成部分。 簡單不加密的敏感數(shù)據(jù)是非常普遍。 不加密的應用程序設計不當往往含有密碼，或者使用不恰當?shù)拿艽a或密碼作出強烈的嚴重錯誤使用。 這些缺陷可以導致違反披露敏感數(shù)據(jù)的遵守。 ? 危害 ? 攻擊者能夠取得或是篡改機密的或是私有的信息； ? 攻擊者通過這些秘密的竊取從而進行進一步的攻擊； ? 造成企業(yè)形象破損，用戶滿意度下降，甚至會有法律訴訟等。 ? 解決之道 ? 驗證你的結構 – 識別所有的敏感數(shù)據(jù)； – 識別這些數(shù)據(jù)存放的所有位置； – 確保所應用的威脅模型能夠應付這些攻擊； – 使用加密手段來應對威脅 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 66 ?使用一定的機制來進行保護 – 文件加密； – 數(shù)據(jù)庫加密； – 數(shù)據(jù)元素加密。 ?正確的使用這些機制 – 使用標準的強算法； – 合理的生成，分發(fā)和保護密鑰； – 準備密鑰的變更。 ?驗證實現(xiàn)方法 – 確保使用了標準的強算法； – 確保所有的證書、密鑰和密碼都得到了安全的存放； – 有一個安全的密鑰分發(fā)和應急處理的方案； 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 67 不安全的通信 ? 定義 對于不加密的應用程序的網(wǎng)絡信息傳輸，需要保護敏感的通信。 加密（通常 SSL）的，必須用于所有身份驗證的連接，特別是通過Inter訪問的網(wǎng)頁，以及后端的連接。 否則，應用程序將暴露身份驗證或會話令牌。 ? 危害 ? 攻擊者能夠取得或是篡改機密的或是私有的信息； ? 攻擊者通過這些秘密的竊取從而進行進一步的攻擊； ? 造成企業(yè)形象破損，用戶滿意度下降，甚至會有法律訴訟等。 ? 解決之道 ? 提供合理的保護機制 – 對于敏感數(shù)據(jù)的傳輸，對所有連接都要使用 TLS； – 在傳輸前對單個數(shù)據(jù)都要進行加密；（如 XMLEncryption） – 在傳輸前對信息進行簽名；（如 XMLSignature） 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 68 ?正確的使用這些機制 – 使用標準的強算法； – 合理管理密鑰和證書； – 在使用前驗證 SSL證書 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 69 限制 URL訪問失效 ? 定義 這個漏洞事實上也是與認證相關的，與我們前面提到的 Top4不安全的直接對象引用也是類似的，不同在于這個漏洞是說系統(tǒng)已經(jīng)對URL的訪問做了限制，但這種限制卻實際并沒有生效。常見的錯誤是，我們在用戶認證后只顯示給用戶認證過的頁面和菜單選項，而實際上這些僅僅是表示層的訪問控制而不能真正生效，攻擊者能夠很容易的就偽造請求直接訪問未被授權的頁面。 我們舉個例子來說明這個過程： 攻擊者發(fā)現(xiàn)他自己的訪問地址為 /user/getAccounts； 他修改他的目錄為 /admin/getAccounts或 /manager/getAccounts； 這樣攻擊者就能夠查看到更多的賬戶信息了。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 70 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 71 ? 解決之道 ? 對每個 URL，我們必須做三件事 – 如果這個 URL不是公開的，那么必須限制能夠訪問他的授權用戶； – 加強基于用戶或角色的訪問控制； – 完全禁止訪問未被授權的頁面類型（如配置文件、日志文件、源文件等） ? 驗證你的構架 – 在每一個層次都使用簡單肯定的模型； – 確保每一層都有一個訪問機制 ? 驗證你的實現(xiàn) – 不要使用自動化的分析工具； – 確保每個 URL都被外部過濾器或其他機制保護； – 確保服務器的配置不允許對非授權頁面的訪問 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 72 ? 實例 public boolean isAuthorized(Object key, Object runtimeParameter)。 public void assertAuthorized(Object key, Object runtimeParameter) throws AccessControlException。 boolean isAuthorizedForURL(String url)。 boolean isAuthorizedForFunction(String functionName)。 boolean isAuthorizedForData(String action, Object data)。 boolean isAuthorizedForFile(String filepath)。 boolean isAuthorizedForService(String serviceName)。 void assertAuthorizedForURL(String url) throws AccessControlException。 void assertAuthorizedForFunction(String functionName) throws AccessControlException。 void assertAuthorizedForData(String action, Object data) throws AccessControlException。 void assertAuthorizedForFile(String filepath) throws AccessControlException。 void assertAuthorizedForService(String serviceName) throws AccessControlException。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 73 實驗 ? 現(xiàn)場簡單 XSS防護實驗 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 74 ? 靜夜四無鄰，荒居舊業(yè)貧。 , March 4, 2023 ? 雨中黃葉樹，燈下白頭人。 11:52:5711:52:5711:523/4/2023 11:52:57 AM ? 1以我獨沈久，愧君相見頻。 :52:5711:52Mar234Mar23 ? 1故人江海別，幾度隔山川。 11:52:5711:52:5711:52Saturday, March 4, 2023 ? 1乍見翻疑夢，相悲各問年。 :52:5711:52:57March 4, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國見青山。 2023年 3月 4日星期六 上午 11時 52分 57秒 11:52: ? 1比不了得就不比，得不到的就不要。 。 2023年 3月 上午 11時 52分 :52March 4, 2023 ? 1行動出成果，工作出財富。 2023年 3月 4日星期六 11時 52分 57秒 11:52:574 March 2023 ? 1做前，能夠環(huán)視四周；做時，你只能或者最好沿著以腳為起點的射線向前。 上午 11時 52分 57秒 上午 11時 52分 11:52: ? 沒有失敗，只有暫時停止成功！。 , March 4, 2023 ? 很多事情努力了未必有結果，但是不努力卻什么改變也沒有。 11:52:5711:52:5711:523/4/2023 11:52:57 AM ? 1成功就是日復一日那一點點小小努力的積累。 :52:5711:52Mar234Mar23 ? 1世間成事，不求其絕對圓滿，留一份不足，可得無限完美。 11:52:5711:52:5711:52Saturday, March 4, 2023 ? 1不知香積寺，數(shù)里入云峰。 :52:5711:52:57March 4, 2023 ? 1意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 3月 4日星期六 上午 11時 52分 57秒 11:52: ? 1楚塞三湘接，荊門九派通。 。 2023年 3月 上午 11時 52分 :52March 4, 2023 ? 1少年十五二十時，步行奪得胡馬騎。 2023年 3月 4日星期六 11時 52分 57秒 11:52:574 March 2023 ? 1空山新雨后，天氣晚來秋。 上午 11時 52分 57秒 上午 11時 52分 11:52: ? 楊柳散和風，青山澹吾慮。 , March 4, 2023 ? 閱讀一切好書如同和過去最杰出的人談話。 11:52:5711:52:5711:523/4/2023 11:52:57 AM ? 1越是沒有本領的就越加自命不凡。 :52:5711:52Mar234Mar23 ? 1越是無能的人，越喜歡挑剔別人的錯兒。 11:52:5711:52:5711:52Saturday, March 4, 2023 ? 1知人者智，自知者明。勝人者有力，自勝者強。 :52:5711:52:57March 4, 2023 ? 1意志堅強的人能把世界放在手中像泥塊一樣任意揉捏