【51CTO.com 獨(dú)家報(bào)道】OWASP 2010中國(guó)峰會(huì)已經(jīng)圓滿結(jié)束了。那么在這個(gè)大會(huì)上，各個(gè)專家都做了精彩絕倫的演講。現(xiàn)在讓我們回顧一下胡振宇關(guān)于《基于語(yǔ)義的WEB訪問(wèn)安全檢測(cè)》的相關(guān)報(bào)道吧。更多內(nèi)容請(qǐng)關(guān)注：51CTO OWASP 2010中國(guó)峰會(huì)專題報(bào)道。

Validating web accessing with sematic constraints

胡振宇：基于語(yǔ)義的WEB訪問(wèn)安全檢測(cè)。在這里面主要是技術(shù)知識(shí)。我們都在做技術(shù)方面的工作，今天我就和大家交流純技術(shù)方面的問(wèn)題。

我今天給大家分享一下，大概分享下列幾個(gè)內(nèi)容，第一個(gè)是簡(jiǎn)單地一些攻擊和防范措施。第二個(gè)提一些思路，怎么從語(yǔ)義方面處理一些外部安全問(wèn)題，再做一些語(yǔ)義檢測(cè)方面的算法，最后談?wù)勎覀兾磥?lái)的發(fā)展。

我們先來(lái)簡(jiǎn)要地回顧一下外部應(yīng)用的體系結(jié)構(gòu)，這些都是很清楚的，一般是分三個(gè)方面的架構(gòu)，一個(gè)是瀏覽器，一個(gè)是WEB程序，還有一個(gè)加上后臺(tái)服務(wù)器，訪問(wèn)是通過(guò)訪問(wèn)器再到后臺(tái)的服務(wù)器再返回來(lái)以示范的形式展現(xiàn)出來(lái)。

典型的攻擊剛才第一個(gè)演講人講的，在澳大利亞第一位?，F(xiàn)在這樣一個(gè)，在這邊有兩個(gè)，一個(gè)是名字的，一個(gè)是類型的。它的意思就是要查詢一個(gè)數(shù)據(jù)庫(kù)里面的信用卡的卡號(hào)。

那么對(duì)于一個(gè)合法的用戶來(lái)說(shuō)，我們一般的情況下，依照頁(yè)面的要求來(lái)輸，比如在名詞里面輸1，在卡的類型里面輸2就行了，就出查出一個(gè)叫John人的帳號(hào)。所有的信用卡后都會(huì)查出來(lái)，最后一句盡管這樣解釋，這樣一般關(guān)健詞，后面的外語(yǔ)句，對(duì)于這些典型的攻擊我們有一些措施。一個(gè)方法就是過(guò)濾，把攻擊行為的關(guān)健詞提出來(lái)或者過(guò)濾較，把尖括號(hào)或者標(biāo)簽，或者關(guān)掉，這是一個(gè)措施。

另外一個(gè)措施是轉(zhuǎn)譯，把典型的關(guān)鍵的字符轉(zhuǎn)換掉，替換。第三就是通過(guò)編碼，把原字符進(jìn)行編碼轉(zhuǎn)換。這里面具體的意思我們不做解釋，因?yàn)闀r(shí)間有限。這些通常都出現(xiàn)過(guò)。出了哪些模式匹配以后，通過(guò)更嚴(yán)格的通過(guò)合法的檢查用戶是否合法。大家看用戶輸入的數(shù)據(jù)體現(xiàn)的位置，對(duì)于惡意的攻擊，他如果輸入了惡意的代碼這樣的一個(gè)區(qū)域以后，產(chǎn)生的語(yǔ)法是這樣的。這個(gè)語(yǔ)法數(shù)（音譯）和原始的差別很大了，你會(huì)發(fā)現(xiàn)不同構(gòu)造，這是一個(gè)比較復(fù)雜的方法。

用語(yǔ)法檢查，這是一個(gè)簡(jiǎn)單的頁(yè)面，比如你查《紅樓夢(mèng)》，這個(gè)書的定價(jià)是50塊錢，左邊是頁(yè)面的原代碼，這里面有三個(gè)欲，這個(gè)隱藏欲輸入的價(jià)錢，真正的頁(yè)面顯示的50是后面的字符顯示的文本字符，當(dāng)你輸入數(shù)量以后，網(wǎng)站根據(jù)你的數(shù)量自動(dòng)乘以50，真正的語(yǔ)法結(jié)構(gòu)你要輸入一個(gè)2，《紅樓夢(mèng)》輸入以后出現(xiàn)一個(gè)2。一個(gè)惡意的攻擊者可能會(huì)篡改，你察看原代碼就可以把這個(gè)網(wǎng)頁(yè)篡改了，如果把隱藏篡改掉了，把50改成5，那這個(gè)最后語(yǔ)句就變了，我們看，這里不管是最后隱藏的欲是5還是50，那么生成的語(yǔ)法結(jié)構(gòu)是一樣的，但是生成的語(yǔ)義是不一樣的。買了兩本書花了100塊錢，篡改了以后買了兩本書花了10塊錢，語(yǔ)義不一樣，單獨(dú)從語(yǔ)法來(lái)看不能解決問(wèn)題。

現(xiàn)在呢，假如還是第一個(gè)問(wèn)題，它的信用卡卡號(hào)的問(wèn)題，在用戶名這里輸入John，但是他現(xiàn)在不輸入2，輸入1+1，這樣提交以后會(huì)產(chǎn)生什么樣的結(jié)果呢？提交以后解釋出來(lái)的是這樣的，大家看看后面多了一點(diǎn)，這個(gè)1+1提價(jià)到服務(wù)器有一個(gè)解釋，會(huì)自動(dòng)算成二，從語(yǔ)法術(shù)的解析來(lái)看，這個(gè)語(yǔ)法術(shù)的結(jié)構(gòu)也變化了。但是語(yǔ)義沒(méi)有變化。像剛開始那個(gè)女士講的，它是攻擊改變了原來(lái)語(yǔ)法器的意思，改了語(yǔ)義的結(jié)構(gòu)。

所以說(shuō)，我們就提出最終要通過(guò)語(yǔ)意安全，要接受什么樣的表達(dá)式我這個(gè)程序才能運(yùn)行，但是語(yǔ)法關(guān)注這個(gè)程序怎么運(yùn)行，所以我們認(rèn)為安全問(wèn)題根本上是語(yǔ)義的問(wèn)題。如果你符合這個(gè)語(yǔ)義了，語(yǔ)義是安全的，否則就是不安全的。用戶輸入那些詞，經(jīng)過(guò)一個(gè)變換，變換成可以被后臺(tái)的一些應(yīng)用來(lái)接受的一些表達(dá)式，比方說(shuō)，數(shù)據(jù)庫(kù)接受了語(yǔ)句，經(jīng)過(guò)一個(gè)應(yīng)用服務(wù)其把它變換一下。

那么我們說(shuō)語(yǔ)義安全就是看經(jīng)過(guò)應(yīng)用程序變換以后的表達(dá)式它是不是符合應(yīng)用開發(fā)人員最終設(shè)計(jì)的那個(gè)語(yǔ)意，如果符合了就語(yǔ)義安全了，否則就不安全。我們還是根據(jù)最根本的和程序到底做什么，結(jié)果來(lái)判斷它的行為。我們?cè)趺醋稣Z(yǔ)義方面的東西呢，我們從這個(gè)結(jié)果知道，一個(gè)程序的語(yǔ)義，首先形成完整的語(yǔ)義必須語(yǔ)法合法，我們就可以通過(guò)程序的原理定義一個(gè)語(yǔ)法結(jié)構(gòu)，一旦程序他總的來(lái)說(shuō)表達(dá)式，這個(gè)程序它的語(yǔ)意最終是由語(yǔ)法結(jié)構(gòu)來(lái)共同描述和形成的，我們就可以像描述語(yǔ)法結(jié)構(gòu)那樣把語(yǔ)義描述出來(lái)。我們要考察這個(gè)程序的語(yǔ)義，我們就可以通過(guò)來(lái)約束語(yǔ)法術(shù)里的語(yǔ)義，更具體地說(shuō)一點(diǎn)，我們需要把那些需要用戶復(fù)制的可變的借鑒，把他們的語(yǔ)意約束，整個(gè)程序的語(yǔ)意就被控制。

現(xiàn)在我們看，我們把這樣說(shuō)了以后，把語(yǔ)法術(shù)里面用語(yǔ)義說(shuō)出來(lái)，就變成了語(yǔ)義模板，我們?cè)谶@邊把他們的語(yǔ)義在這個(gè)東西出現(xiàn)了，一個(gè)是漲停的數(shù)據(jù)，就可以限定它的語(yǔ)義。你用整合的約束的話，它的攻擊就不能夠得逞。比如剛才那個(gè)定單的例子說(shuō)，我對(duì)里面隱藏的例子可以進(jìn)行一個(gè)約束，限價(jià)是50，你不能改，你改了就不行。

這個(gè)等于每一個(gè)用戶的請(qǐng)求，最后轉(zhuǎn)化成請(qǐng)求，我們通過(guò)把用戶的請(qǐng)求變規(guī)范，從這里面來(lái)點(diǎn)擊看看他是不是符合，我們?cè)趺醋鲞@個(gè)事情呢，我們可以通過(guò)下面幾個(gè)辦法第一個(gè)步驟，解析語(yǔ)法。語(yǔ)法出來(lái)把它最新的砍掉，把語(yǔ)義數(shù)進(jìn)行對(duì)比，這就可以比他們是否可以同構(gòu)，用戶完全可以被限定在語(yǔ)義里面，否則就出現(xiàn)語(yǔ)義偏差。如果真正從國(guó)際后臺(tái)做到解析語(yǔ)法可能比較復(fù)雜，我們可以通過(guò)前臺(tái)的輸入來(lái)進(jìn)行一些校驗(yàn)，形成用戶輸入的模板。這里面的頁(yè)面我們可以限定他的類型，他的值是《紅樓夢(mèng)》不允許你修改，特別是最下面，用戶是隱藏看不見可能沒(méi)辦法操作，他通過(guò)修改原代碼的分析，這里面也要寫校驗(yàn)，特別它限定的是50，這個(gè)就不能改，這個(gè)就可以防止頁(yè)面篡改的東西。簡(jiǎn)單地說(shuō)各種攻擊都可以防，表面修改或者pass攻擊，我們剛才說(shuō)了，城市的攻擊是最終的語(yǔ)義的問(wèn)題，這個(gè)能解決很多很多問(wèn)題吧。

目前來(lái)說(shuō)，我們要做這個(gè)工作，只是做了一些簡(jiǎn)單的不完善的測(cè)試，還遇到了一些問(wèn)題，這個(gè)問(wèn)題遇到了以下幾個(gè)方面，一個(gè)是怎么建立語(yǔ)義模板，你可以經(jīng)過(guò)審查原代碼解決，當(dāng)然這是最好的辦法。當(dāng)然你遇到比較大的這是不太理想的，你可以開發(fā)自動(dòng)化，自動(dòng)建立，自動(dòng)建立到底建立得好與壞這個(gè)不能保證，我們提倡兩個(gè)碼結(jié)合，可以開發(fā)一些工具，最后去校驗(yàn)。

我們下一步的工作把我們的技術(shù)進(jìn)行更深入的評(píng)估，再發(fā)布，好了，我給大家交流的就是這些，謝謝大家。

【編輯推薦】

1. OWASP 2010范淵：中國(guó)WEB安全5年發(fā)展歷程及趨勢(shì)與挑戰(zhàn)
2. OWASP 2010中國(guó)峰會(huì)——OWASP中國(guó)主席Tom Brennan精彩致辭
3. OWASP 2010中國(guó)峰會(huì) 現(xiàn)場(chǎng)演講嘉賓介紹
4. OWASP 2010中國(guó)峰會(huì)現(xiàn)場(chǎng)圖文集錦