在本文中，主要探討Web應(yīng)用程序的安全性，主要包括漏洞攻擊者如何利用不安全的Web應(yīng)用程序來危害整個(gè)服務(wù)器或者破壞一個(gè)網(wǎng)站、以及開發(fā)人員如何避免引入這些漏洞。主要介紹業(yè)界幾個(gè)需要被著重考慮的Web應(yīng)用程序的安全問題：SQL注入、表格和腳本以及Cookies和會(huì)話管理。

一、防止SQL注入

SQL(結(jié)構(gòu)化查詢語言)是基于美國國家標(biāo)準(zhǔn)學(xué)會(huì)(ANSI)標(biāo)準(zhǔn)，并作為共同的語言與數(shù)據(jù)庫通信。每個(gè)數(shù)據(jù)庫系統(tǒng)增加了一些專有功能到基本的ANSI SQL。

SQL注入是一門將制作好的SQL注入用戶輸入字段的一種技術(shù)，它是網(wǎng)頁形式的一部分——用來繞過自定義登錄到網(wǎng)站。然而，SQL注入也可以用于登錄或者接管一個(gè)網(wǎng)站，因此要確保其能防止攻擊很重要。

開發(fā)人員和管理員可以采取許多不同的步驟解決SQL注入的問題。以下是為開發(fā)者提供的解決方案：

· 過濾的所有輸入字段單引號(hào)(' )，以防止未經(jīng)授權(quán)的登錄。

· 過濾器SQL命令的所有輸入字段，如插入，選擇，工會(huì)，刪除和exec ，以保護(hù)服務(wù)器操作。 (請(qǐng)確保操作是在過濾單引號(hào)后進(jìn)行)

· 限制輸入字段長度(這將限制攻擊者的選擇)，并用服務(wù)器端腳本驗(yàn)證輸入長度。

表1 常見的攻擊者攻擊SQL服務(wù)器儲(chǔ)存過程

· 使用選項(xiàng)來過濾“轉(zhuǎn)義字符” (用于注入SQL代碼，比如單引號(hào)) ，如果該數(shù)據(jù)庫提供了該功能。

· 除了Web 服務(wù)器，將數(shù)據(jù)庫在不同的計(jì)算機(jī)的Web服務(wù)器上。一旦數(shù)據(jù)庫遭到黑客攻擊，也很難攻擊到Web服務(wù)期。

· 限制的服務(wù)器端腳本的用戶權(quán)限。從服務(wù)器端腳本中記錄到數(shù)據(jù)庫的通常的做法是使用管理用戶，但這可能同事也讓攻擊者趁機(jī)運(yùn)行需要管理用戶的數(shù)據(jù)庫任務(wù)(如修改表或運(yùn)行存儲(chǔ)過程) 。所以用最小的用戶權(quán)限分配來達(dá)到此目的。

· 刪除所有不必要的擴(kuò)展存儲(chǔ)過程來限制攻擊者的可能性。

· 將數(shù)據(jù)庫放置到一個(gè)單獨(dú)的空間(在防火墻后面) ，與Web容器和應(yīng)用服務(wù)器相隔離。

不同于開發(fā)商，管理員沒有代碼的控制權(quán)，不能代表程序員產(chǎn)生變化。然而管理員可以通過運(yùn)行一些測試，并確保代碼安全來降低風(fēng)險(xiǎn)：

· 確保Web服務(wù)器給返回一個(gè)自定義錯(cuò)誤頁。這樣一來，服務(wù)器將不會(huì)返回SQL錯(cuò)誤，這將使攻擊者更難獲得SQL數(shù)據(jù)。(自定義錯(cuò)誤頁面不應(yīng)該包含任何可能有助于攻擊者的信息，不同于常規(guī)將返回部分SQL的錯(cuò)誤頁面。)

· 只部署從Web服務(wù)器分離數(shù)據(jù)的Web應(yīng)用程序。

· 聘請(qǐng)外部機(jī)構(gòu)對(duì)Web服務(wù)器上執(zhí)行穿透測試，并尋找SQL注入攻擊。

· 使用一個(gè)專用的自動(dòng)掃描設(shè)備來探索由程序員的失誤導(dǎo)致的SQL注入漏洞。

· 部署安全解決方案來驗(yàn)證用戶輸入并過濾SQL注入企圖。#p#

二、防止窗體和腳本泄密

窗體用于允許用戶輸入，但也可以用來管理會(huì)話，并在會(huì)話內(nèi)傳輸?shù)闹匾獢?shù)據(jù)(如用戶或會(huì)話標(biāo)識(shí)符)。攻擊者可以暴露嵌入在創(chuàng)窗口中的數(shù)據(jù)，并通過Web應(yīng)用暴露其他用戶信息，或以較低的價(jià)格在電子商務(wù)中進(jìn)行交易。3種暴露形式如下：

· 禁用客戶端腳本

· 在URL中傳遞參數(shù)

· 通過隱藏字段傳遞參數(shù)

1. 客戶端腳本

一些開發(fā)人員使用客戶端腳本來驗(yàn)證各種方式輸入字段：

· 限制輸入字段的大小

· 禁止某些字符(如單引號(hào))

· 執(zhí)行其他類型的驗(yàn)證(這些可以具體到每個(gè)站點(diǎn))

通過禁用客戶端腳本( JavaScript或VBScript)中，此驗(yàn)證可輕松繞過。開發(fā)人員應(yīng)該在服務(wù)器端驗(yàn)證所有字段。這可能需要服務(wù)器上的額外資源。

2. 通過URL傳遞參數(shù)

窗口有兩種方法來傳遞數(shù)據(jù)： post和get 。 post命令。在內(nèi)容流發(fā)送數(shù)據(jù)和get命令在URL中發(fā)送數(shù)據(jù)。攻擊者可以利用get命令來發(fā)送無效或不正確的數(shù)據(jù)，或發(fā)送惡意代碼。

例如，假設(shè)我們有這樣的形式：

...

Username:

Password:

...

讓我們假設(shè)用戶輸入someusername作為用戶名，somepassword為密碼。瀏覽器會(huì)被重定向到這個(gè)URL

http://thesite/login.asp?username=someusername?password=somepassword

攻擊者可以通過簡單地修改URL的數(shù)據(jù)(利用此類型的URL在瀏覽器的地址欄)。這個(gè)方法可以用在電子商務(wù)網(wǎng)站來改變項(xiàng)目的價(jià)格。例如，看看下面的網(wǎng)址：

http://somesite/checkout.asp?totalprice=100

攻擊者可以簡單地改變“TOTALPRICE”的值，并執(zhí)行檢出有以較低的價(jià)格比之意。這可以簡單地通過改變這樣的URL來完成：

http://somesite/checkout.asp?totalprice=50

Web應(yīng)用程序?qū)?zhí)行檢驗(yàn)，但總價(jià)為50美元(代替了100美元)。

另一種情況是，在登錄后，用戶識(shí)別正在使用GET發(fā)送，讓攻擊者修改它，并在另一個(gè)用戶的名義執(zhí)行操作。以下網(wǎng)址就是一個(gè)例子

http://somesite/changeuserinfo.asp?user=134

攻擊者可以更改“用戶”的值，并當(dāng)存在用戶的時(shí)候獲得該用戶的數(shù)據(jù)。

3. 通過隱藏字段傳遞數(shù)據(jù)

POST在發(fā)送數(shù)據(jù)的時(shí)候使用的是HTTP命令。不同于get，這種方法不會(huì)顯示在URL中的數(shù)據(jù)，但它也更容易被利用?？紤]以下表格：

...

...

這種形式使用POST傳輸用戶的標(biāo)識(shí)符。攻擊者可以保存HTML ，修改用戶ID字段，修改檢測路徑(鏈接到原來的網(wǎng)站，如：

4. 解決數(shù)據(jù)傳輸問題

開發(fā)人員可以使用GUID 或通過加密的信息，修改管理會(huì)話信息隱藏起來的數(shù)據(jù)來阻止攻擊者。

· 管理會(huì)話信息: 大多數(shù)服務(wù)器端腳本技術(shù)允許開發(fā)人員來存儲(chǔ)用戶的會(huì)話信息，這是節(jié)省特殊會(huì)話信息最安全的方法，因?yàn)樗械臄?shù)據(jù)都存儲(chǔ)在本地Web服務(wù)器計(jì)算機(jī)上。

· 使用GUID:全局唯一標(biāo)識(shí)符或GUID是一個(gè)128位的隨機(jī)生成的數(shù)字具有2128的可能值。GUID可以作為用戶標(biāo)識(shí)符被Web應(yīng)用程序程序員使用。假設(shè)一個(gè)Web服務(wù)器有40億用戶(大約232 ，遠(yuǎn)遠(yuǎn)超過了上網(wǎng)人數(shù))，這意味著平均每個(gè)用戶有296可能值(2128 /232 = 296 )。由于296接近于7后面28個(gè)0，攻擊者就沒有機(jī)會(huì)猜測，訪問正確的GUID 。

· 對(duì)數(shù)據(jù)進(jìn)行加密:開發(fā)人員可以加密通過數(shù)據(jù)，而不是用明文通過數(shù)據(jù)。這些數(shù)據(jù)應(yīng)該用主密鑰加密(僅在Web服務(wù)器上儲(chǔ)存的對(duì)稱密鑰用于儲(chǔ)存客戶端數(shù)據(jù)) 。如果攻擊者試圖修改加密數(shù)據(jù)，客戶端將檢測到有人篡改數(shù)據(jù)。

值得注意的是：切勿使用用戶的信息衍生信息作為隱藏的標(biāo)識(shí)符，如用戶名MD5 hash。攻擊者會(huì)嘗試找到這樣的快捷方式，并暴露它們。#p#

三、Cookies和會(huì)話管理

Web會(huì)話根據(jù)不同的服務(wù)器端腳本技術(shù)有不同的實(shí)現(xiàn)方式，但一般當(dāng)用戶輸入該網(wǎng)站它們就會(huì)啟動(dòng)，并且當(dāng)用戶關(guān)閉瀏覽器或會(huì)話超時(shí)它們就會(huì)終止。會(huì)話用于跟蹤用戶的活動(dòng)，諸如用戶加入商品到購物車中，該網(wǎng)站通過使用會(huì)話標(biāo)識(shí)符跟蹤商品進(jìn)度。

會(huì)話使用cookie(由網(wǎng)站每個(gè)站點(diǎn)或每個(gè)頁面發(fā)送的數(shù)據(jù)，由用戶的瀏覽器存儲(chǔ))。每次用戶訪問Web站點(diǎn)時(shí)就發(fā)送了一個(gè)cookie，瀏覽器會(huì)發(fā)送cookie返回到該網(wǎng)站。(雖然Cookie可以被用來跟蹤用戶的上網(wǎng)行為和被認(rèn)為是一個(gè)主要的隱私威脅，但他們?nèi)匀皇菚?huì)話管理的最佳媒介。 )會(huì)話使用Cookie來識(shí)別用戶，并以積極的會(huì)話標(biāo)識(shí)符配對(duì)。

攻擊者可以濫用會(huì)話和cookie，下面部分將處理各種風(fēng)險(xiǎn)：

· 會(huì)話盜竊

· 通過發(fā)送數(shù)據(jù)到其他用戶管理會(huì)話

· Web服務(wù)器的cookie的攻擊

· 保護(hù)會(huì)話

1. 會(huì)話盜竊

假設(shè)一個(gè)用戶在登錄到使用會(huì)話的網(wǎng)站。該網(wǎng)站作為驗(yàn)證過標(biāo)記會(huì)話并允許身份驗(yàn)證的用戶瀏覽安全區(qū)域。運(yùn)用post或get來保存弱會(huì)話標(biāo)識(shí)符或其他相關(guān)的識(shí)別數(shù)據(jù)(如電子郵件地址)不是最好的選擇。取而代之的是，網(wǎng)站可以使用cookie命令來保存敏感數(shù)據(jù)，但攻擊者也可以攻破。服務(wù)器端的cookie是另一種選擇。

讓我們假設(shè)網(wǎng)站使用電子郵件地址作為識(shí)別數(shù)據(jù)。之后，用戶必須登錄后，系統(tǒng)才會(huì)發(fā)送給瀏覽器一個(gè)包含用戶的電子郵件地址的cookie。對(duì)于每一個(gè)用戶將訪問的頁面，瀏覽器將發(fā)送包含用戶E-mail地址的cookie。該網(wǎng)站會(huì)檢查Cookie中的數(shù)據(jù)，并允許用戶訪問通過許可證的網(wǎng)頁。

攻擊者可能修改在cookie中的數(shù)據(jù)。然而，假設(shè)cookie包含someemail@site.com ，我們每次訪問網(wǎng)站的時(shí)候就可以自動(dòng)訪問限制區(qū)域。如果攻擊者將他cookie中的E- mail地址(位于他的計(jì)算機(jī)上)改為someotheremail@site.com ，下一次攻擊者訪問站點(diǎn)時(shí)，他就會(huì)被默認(rèn)為是該用戶 ，允許他訪問用戶的數(shù)據(jù)。

2. 無數(shù)據(jù)發(fā)送到用戶的會(huì)話管理

有些用戶禁用cookies(保護(hù)自己的隱私)，這表明也不允許會(huì)話管理(其需要Cookies)。除非該網(wǎng)站使用的是安全性較低方法來管理會(huì)話，跟蹤用戶的唯一方法是通過使用IP地址作為識(shí)別碼。然而，這種方法有很多問題：

· 有些用戶通過瀏覽網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)，如企業(yè)用戶，它們將共享一個(gè)或有限數(shù)量的IP地址。

· 有些用戶上網(wǎng)通過匿名代理，他們將分享這個(gè)代理的IP地址(雖然有些代理通過發(fā)送客戶端的地址來允許Web站點(diǎn)使用它的會(huì)話管理)。

· 有些用戶使用撥號(hào)連接和共享一個(gè)IP地址區(qū)，這意味著當(dāng)用戶斷開連接時(shí)，下一個(gè)連接的用戶將得到該IP地址。(這個(gè)問題可以用一個(gè)短的IP超時(shí)來解決，在時(shí)間到期之后，IP地址不會(huì)被鏈接到一個(gè)會(huì)話。)

3. 確保會(huì)話跟蹤

確保會(huì)話跟蹤的最好方法是使用一個(gè)難以猜測的標(biāo)識(shí)符，來確定是否是來自用戶的數(shù)據(jù)，如加密字符串或GUID ，并將該標(biāo)識(shí)符鏈接到用戶的IP地址。以防多個(gè)用戶共享一個(gè)IP地址，會(huì)話標(biāo)識(shí)符可用于區(qū)分它們。

此外，短的超時(shí)時(shí)間可以在限制的時(shí)間用完以后，刪除活動(dòng)會(huì)話。這表明，如果用戶不正常關(guān)閉瀏覽器(如在一臺(tái)計(jì)算機(jī)或?yàn)g覽器崩潰的情況下)，該會(huì)話由服務(wù)器關(guān)閉。

4. Web服務(wù)器的Cookies攻擊

攻擊者通過專用軟件打開很多連接，使用cookies管理來耗盡Web服務(wù)器的資源。由于當(dāng)一個(gè)瀏覽器關(guān)閉時(shí)，該軟件不會(huì)發(fā)送“關(guān)閉”事件，該會(huì)話不會(huì)被刪除直到超時(shí)。在此期間，該會(huì)話的信息被保存或者在存儲(chǔ)器中或硬盤驅(qū)動(dòng)器，浪費(fèi)資源。

解決這個(gè)問題的方法是配置防火墻，以便它不容許更大于每秒特定數(shù)目的連接，這將阻止攻擊者啟動(dòng)無限數(shù)量的連接。#p#

四、注意其他一般攻擊

有些攻擊是不屬于任何特定類別的一部分，但他們?nèi)匀粚?duì)Web應(yīng)用程序構(gòu)成顯著風(fēng)險(xiǎn)。其中易損壞的腳本，嘗試強(qiáng)制性登錄，和緩沖區(qū)溢出。

1. 易損壞腳本

有人公開使用的腳本(這在本質(zhì)上是等同于Web應(yīng)用程序)包含錯(cuò)誤，允許攻擊者查看或修改文件，甚至接管Web服務(wù)器的計(jì)算機(jī)。找出Web服務(wù)器是否包含這樣的腳本最好的方法是運(yùn)行一個(gè)漏洞掃描器，不管是免費(fèi)的或商用的。如果找到這樣一個(gè)腳本，它會(huì)被更新(更新為不容易受攻擊的版本)或被其他腳本替代。

2. 強(qiáng)制性登錄

攻擊者可以嘗試使用字典進(jìn)行強(qiáng)制性登錄(一個(gè)標(biāo)準(zhǔn)的Web登錄或自定義的ASP)。有許多的打擊這種強(qiáng)制性攻擊的方法：

· 限制每個(gè)IP地址的每秒連接數(shù)(在防火墻級(jí)別或服務(wù)器端腳本級(jí)別進(jìn)行定義)

· 強(qiáng)制用戶選擇包含大寫和小寫字母和數(shù)字的高安全性密碼

3. 緩沖區(qū)溢出

緩沖區(qū)溢出可以用來獲得對(duì)Web服務(wù)器的控制。攻擊者發(fā)送大量包含匯編代碼的輸入，如果腳本存在漏洞，字符串會(huì)被執(zhí)行，并且通常運(yùn)行一個(gè)木馬程序，這將允許攻擊者接管計(jì)算機(jī)。

結(jié)論

Web應(yīng)用程序比客戶端應(yīng)用程序更難保證安全性，因?yàn)樗幌馱eb服務(wù)器有四，五個(gè)主要供應(yīng)商的Web服務(wù)器，它 有大量的Web應(yīng)用程序和自定義腳本數(shù)量，而且每個(gè)都可能包含潛在的漏洞。對(duì)于開發(fā)人員來說，確保應(yīng)用程序安全的最佳方法是使用建議的安全措施和可以掃描代碼的軟件，并提醒用戶潛在的安全問題。管理員需要定期掃描其Web站點(diǎn)中的漏洞。