【正文】 我們看如下的一個示例，也許這樣就更容易理解什么是不安 全的對象直接引用。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 54 ? 危害 這種漏洞能損害參數(shù)所引用的所有數(shù)據(jù)。 ? 解決之道 ? 案例 1 使用 ESAPI的 AccessReferenceMap實現(xiàn)使用非直接的對象引用 MyObject obj。 // holds objects for display in UI //create ESAPI random access reference map AccessReferenceMap map = new RandomAccessReferenceMap()。 //set indirect reference for each object requires your app object to have this method (indirectReference)。 //store collection in request/session and forward to UI ... 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 來自不受信源所使用的所有直接對象引用都必須包含訪問控制檢測，這樣才能確保用戶對要求的對象有訪問權限。 7Safe 2023/11/10 DBAppsecurtiy 2023 56 跨站點請求偽造（ CSRF） ? 定義 跨站請求偽造，也被稱成為“ one click attack” 或者 session riding，通常縮寫為 CSRF或者 XSRF，是一種對網(wǎng)站的惡意利用。 XSS利用站點內(nèi)的信任用戶，而 CSRF則通過偽裝來自受信任用戶的請求來利用受信任的網(wǎng)站。 ? 危害 攻擊者能讓受害用戶修改可以修改的任何數(shù)據(jù)，或者是執(zhí)行允許使用的任何功能 。 7Safe 2023/11/10 DBAppsecurtiy 2023 57 ? 解決之道 第一步，新建 CSRF令牌添加進用戶每次登陸以及存儲在 session里 ， 這種令牌至少對每個用戶會話來說應該是唯一的，或者是對每個請求是唯一的。s CSRF token. */ private String csrfToken = resetCSRFToken()。 return csrfToken。 7Safe 2023/11/10 DBAppsecurtiy 2023 58 第二步，令牌同樣可以包含在 URL中或作為一個 URL參數(shù)標記 /隱藏字段。 //this code is from the DefaultHTTPUtilities implementation in ESAPI public String addCSRFToken(String href) { User user = ().getCurrentUser()。 } // if there are already parameters append with , otherwise append with ? String token = CSRF_TOKEN_NAME + = + ()。?39。 } ... public String getCSRFToken() { User user = ().getCurrentUser()。 return ()。 7Safe 2023/11/10 DBAppsecurtiy 2023 59 第三步，在服務器端檢查提交令牌與用戶會話對象令牌是否匹配。 // check if user authenticated with this request no CSRF protection required if( (()) != null ) { return。 if ( !().equals( token ) ) { throw new IntrusionException(Authentication failed, Possibly fed HTTP request without proper CSRF token detected)。 7Safe 2023/11/10 DBAppsecurtiy 2023 60 第四步，在注銷和會話超時，刪除用戶對象會話和會話銷毀。 HttpSession session = ().getSession(false)。 ()。 loggedIn = false。 ().setCurrentUser()。 7Safe 2023/11/10 DBAppsecurtiy 2023 61 信息泄露和錯誤處理不當 ? 定義 應用程序常常產(chǎn)生錯誤信息并顯示給使用者。 ? 危害 ? 泄露太多的細節(jié)（如錯誤堆棧跟蹤信息、 SQL語句等等）； ? 登錄失敗后，通知用戶是否用戶 ID或密碼出錯 ——登錄失敗可能是由于 ID或密碼錯 誤造成的。 ? 解決之道 ? 案例 1 通過 errorpage exceptiontype/exceptiontype location//location /errorpage 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 ? 危害 這些漏洞可能導致部分甚至全部帳戶遭受攻擊。因此特權帳戶會造成更大的破壞。 ? 通過認證的問候： – 使用單一的入口點。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。T USE public boolean login(String username, String password) { boolean isAuthenticated = true。 } } catch (Exception e) { //handle exc } return isAuthenticated。 7Safe 2023/11/10 DBAppsecurtiy 2023 65 不安全的加密儲存 ? 定義 保護與加密敏感數(shù)據(jù)已經(jīng)成為網(wǎng)絡應用的最重要的組成部分。 不加密的應用程序設計不當往往含有密碼，或者使用不恰當?shù)拿艽a或密碼作出強烈的嚴重錯誤使用。 ? 危害 ? 攻擊者能夠取得或是篡改機密的或是私有的信息； ? 攻擊者通過這些秘密的竊取從而進行進一步的攻擊； ? 造成企業(yè)形象破損，用戶滿意度下降，甚至會有法律訴訟等。 7Safe 2023/11/10 DBAppsecurtiy 2023 66 ?使用一定的機制來進行保護 – 文件加密； – 數(shù)據(jù)庫加密； – 數(shù)據(jù)元素加密。 ?驗證實現(xiàn)方法 – 確保使用了標準的強算法； – 確保所有的證書、密鑰和密碼都得到了安全的存放； – 有一個安全的密鑰分發(fā)和應急處理的方案； 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 加密（通常 SSL）的，必須用于所有身份驗證的連接，特別是通過Inter訪問的網(wǎng)頁，以及后端的連接。 ? 危害 ? 攻擊者能夠取得或是篡改機密的或是私有的信息； ? 攻擊者通過這些秘密的竊取從而進行進一步的攻擊； ? 造成企業(yè)形象破損，用戶滿意度下降，甚至會有法律訴訟等。 7Safe 2023/11/10 DBAppsecurtiy 2023 68 ?正確的使用這些機制 – 使用標準的強算法； – 合理管理密鑰和證書； – 在使用前驗證 SSL證書 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。常見的錯誤是，我們在用戶認證后只顯示給用戶認證過的頁面和菜單選項，而實際上這些僅僅是表示層的訪問控制而不能真正生效，攻擊者能夠很容易的就偽造請求直接訪問未被授權的頁面。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 71 ? 解決之道 ? 對每個 URL，我們必須做三件事 – 如果這個 URL不是公開的，那么必須限制能夠訪問他的授權用戶； – 加強基于用戶或角色的訪問控制； – 完全禁止訪問未被授權的頁面類型（如配置文件、日志文件、源文件等） ? 驗證你的構架 – 在每一個層次都使用簡單肯定的模型； – 確保每一層都有一個訪問機制 ? 驗證你的實現(xiàn) – 不要使用自動化的分析工具； – 確保每個 URL都被外部過濾器或其他機制保護； – 確保服務器的配置不允許對非授權頁面的訪問 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 public void assertAuthorized(Object key, Object runtimeParameter) throws AccessControlException。 boolean isAuthorizedForFunction(String functionName)。 boolean isAuthorizedForFile(String filepath)。 void assertAuthorizedForURL(String url) throws AccessControlException。 void assertAuthorizedForData(String action, Object data) throws AccessControlException。 void assertAuthorizedForService(String serviceName) throws AccessControlException。 7Safe 2023/11/10 DBAppsecurtiy 2023 73 實驗 ? 現(xiàn)場簡單 XSS防護實驗 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 , March 4, 2023 ? 雨中黃葉樹，燈下白頭人。 :52:5711:52Mar234Mar23 ? 1故人江海別，幾度隔山川。 :52:5711:52:57March 4, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國見青山。 。 2023年 3月 4日星期六 11時 52分 57秒 11:52:574 March 2023 ? 1做前，能夠環(huán)視四周；做時，你只能或者最好沿著以腳為起點的射線向前。 , March 4, 2023 ? 很多事情努力了未必有結果，但是不努力卻什么改變也沒有。 :52:5711:52Mar234Mar23 ? 1世間成事，不求其絕對圓滿，留一份不足，可得無限完美。 :52:5711:52:57March 4, 2023 ? 1意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。 。 2023年 3月 4日星期六 11時 52分 57秒 11:52:574 March 2023 ? 1空山新雨后，天氣晚來秋。 , March 4, 2023 ? 閱讀一切好書如同和過去最杰出的人談話。 :52:5711:52Mar234Mar23 ? 1越是無能的人，越喜歡挑剔別人的錯兒。勝人者有力，自勝者強。