一、不能盲目相信用戶輸入
在Web應(yīng)用開發(fā)中,開發(fā)者最大的失誤往往是無(wú)條件地信任用戶輸入,假定用戶(即使是惡意用戶)總是受到瀏覽器的限制,總是通過(guò)瀏覽器和服務(wù)器交互,從而打開了攻擊Web應(yīng)用的大門。實(shí)際上,黑客們攻擊和操作Web網(wǎng)站的工具很多,根本不必局限于瀏覽器,從最低級(jí)的字符模式的原始界面(例如telnet),到CGI腳本掃描器、Web代理、Web應(yīng)用掃描器,惡意用戶可能采用的攻擊模式和手段很多。
因此,只有嚴(yán)密地驗(yàn)證用戶輸入的合法性,才能有效地抵抗黑客的攻擊。應(yīng)用程序可以用多種方法(甚至是驗(yàn)證范圍重疊的方法)執(zhí)行驗(yàn)證,例如,在認(rèn)可用戶輸入之前執(zhí)行驗(yàn)證,確保用戶輸入只包含合法的字符,而且所有輸入域的內(nèi)容長(zhǎng)度都沒(méi)有超過(guò)范圍(以防范可能出現(xiàn)的緩沖區(qū)溢出攻擊),在此基礎(chǔ)上再執(zhí)行其他驗(yàn)證,確保用戶輸入的數(shù)據(jù)不僅合法,而且合理。必要時(shí)不僅可以采取強(qiáng)制性的長(zhǎng)度限制策略,而且還可以對(duì)輸入內(nèi)容按照明確定義的特征集執(zhí)行驗(yàn)證。下面幾點(diǎn)建議將幫助你正確驗(yàn)證用戶輸入數(shù)據(jù):
⑴ 始終對(duì)所有的用戶輸入執(zhí)行驗(yàn)證,且驗(yàn)證必須在一個(gè)可靠的平臺(tái)上進(jìn)行,應(yīng)當(dāng)在應(yīng)用的多個(gè)層上進(jìn)行。
⑵ 除了輸入、輸出功能必需的數(shù)據(jù)之外,不要允許其他任何內(nèi)容。
⑶ 設(shè)立“信任代碼基地”,允許數(shù)據(jù)進(jìn)入信任環(huán)境之前執(zhí)行徹底的驗(yàn)證。
⑷ 登錄數(shù)據(jù)之前先檢查數(shù)據(jù)類型。
⑸ 詳盡地定義每一種數(shù)據(jù)格式,例如緩沖區(qū)長(zhǎng)度、整數(shù)類型等。
⑹ 嚴(yán)格定義合法的用戶請(qǐng)求,拒絕所有其他請(qǐng)求。
⑺ 測(cè)試數(shù)據(jù)是否滿足合法的條件,而不是測(cè)試不合法的條件。這是因?yàn)閿?shù)據(jù)不合法的情況很多,難以詳盡列舉。
二、五種常見的ASP.NET安全缺陷
下面給出了五個(gè)例子,闡述如何按照上述建議增強(qiáng)應(yīng)用程序的安全性。這些例子示范了代碼中可能出現(xiàn)的缺陷,以及它們帶來(lái)的安全風(fēng)險(xiǎn)、如何改寫最少的代碼來(lái)有效地降低攻擊風(fēng)險(xiǎn)。
2.1 篡改參數(shù)
◎ 使用ASP.NET域驗(yàn)證器
盲目信任用戶輸入是保障Web應(yīng)用安全的第一敵人。用戶輸入的主要來(lái)源是HTML表單中提交的參數(shù),如果不能嚴(yán)格地驗(yàn)證這些參數(shù)的合法性,就有可能危及服務(wù)器的安全。
下面的C#代碼查詢后端SQL Server數(shù)據(jù)庫(kù),假設(shè)user和password變量的值直接取自用戶輸入:
SqlDataAdapter my_query = new SqlDataAdapter(
"SELECT * FROM accounts WHERE acc_user='" + user + "' AND acc_password='" + password, the_connection);
從表面上看,這幾行代碼毫無(wú)問(wèn)題,實(shí)際上卻可能引來(lái)SQL注入式攻擊。攻擊者只要在user輸入域中輸入“OR 1=1”,就可以順利登錄系統(tǒng),或者只要在查詢之后加上適當(dāng)?shù)恼{(diào)用,就可以執(zhí)行任意Shell命令:
'; EXEC master..xp_cmdshell(Oshell command here')--
■ 風(fēng)險(xiǎn)分析
在編寫這幾行代碼時(shí),開發(fā)者無(wú)意之中作出了這樣的假定:用戶的輸入內(nèi)容只包含“正常的”數(shù)據(jù)——合乎人們通常習(xí)慣的用戶名字、密碼,但不會(huì)包含引號(hào)之類的特殊字符,這正是SQL注入式攻擊能夠得逞的根本原因。黑客們可以借助一些具有特殊含義的字符改變查詢的本意,進(jìn)而調(diào)用任意函數(shù)或過(guò)程。
■ 解決方案
域驗(yàn)證器是一種讓ASP.NET開發(fā)者對(duì)域的值實(shí)施限制的機(jī)制,例如,限制用戶輸入的域值必須匹配特定的表達(dá)式。
要防止上述攻擊行為得逞,第一種辦法是禁止引號(hào)之類的特殊字符輸入,第二種辦法更嚴(yán)格,即限定輸入域的內(nèi)容必須屬于某個(gè)合法字符的集合,例如“[a-zA-Z0-9]*”。
2.2 篡改參數(shù)之二
◎ 避免驗(yàn)證操作的漏洞
然而,僅僅為每個(gè)輸入域引入驗(yàn)證器還不能防范所有通過(guò)修改參數(shù)實(shí)施的攻擊。在執(zhí)行數(shù)值范圍檢查之時(shí),還要指定正確的數(shù)據(jù)類型。
也就是說(shuō),在使用ASP.NET的范圍檢查控件時(shí),應(yīng)當(dāng)根據(jù)輸入域要求的數(shù)據(jù)類型指定適當(dāng)?shù)腡ype屬性,因?yàn)門ype的默認(rèn)值是String。
<!-- 要求輸入值必須是1-9之間的數(shù)字 -->
<asp:RangeValidator ... MinimumValue="1" MaximumValue="9" .../>
■ 風(fēng)險(xiǎn)分析
由于沒(méi)有指定Type屬性值,上面的代碼將假定輸入值的類型是String,因此RangeValidator驗(yàn)證器只能確保字符串由0-9之間的字符開始,“0abcd”也會(huì)被認(rèn)可。
■ 解決方案
要確保輸入值確實(shí)是整數(shù),正確的辦法是將Type屬性指定為Integer:
<!-- 要求輸入值必須是1-9之間的數(shù)字 -->
<asp:RangeValidator ... MinimumValue="1"
MaximumValue="9" Type="Integer"
2.3 信息泄漏
◎ 讓隱藏域更加安全
在ASP.NET應(yīng)用中,幾乎所有HTML頁(yè)面的__VIEWSTATE隱藏域中都可以找到有關(guān)應(yīng)用的信息。由于__VIEWSTATE是BASE 64編碼的,所以常常被忽略,但黑客可以方便地解碼BASE 64數(shù)據(jù),用不著花什么力氣就可以得到__VIEWSTATE提供的詳細(xì)資料。
■ 風(fēng)險(xiǎn)分析
默認(rèn)情況下,__VIEWSTATE數(shù)據(jù)將包含:
⑴ 來(lái)自頁(yè)面控件的動(dòng)態(tài)數(shù)據(jù)。
⑵ 開發(fā)者在ViewState中顯式保存的數(shù)據(jù)。
⑶ 上述數(shù)據(jù)的密碼簽字。
■ 解決方案
設(shè)置EnableViewStatMAC="true",啟用__VIEWSTATE數(shù)據(jù)加密功能。然后,將machineKey驗(yàn)證類型設(shè)置成3DES,要求ASP.NET用Triple DES對(duì)稱加密算法加密ViewState數(shù)據(jù)。
2.4 SQL注入式攻擊
◎ 使用SQL參數(shù)API
正如前文“篡改參數(shù)”部分描述的,攻擊者可以在輸入域中插入特殊字符,改變SQL查詢的本意,欺騙數(shù)據(jù)庫(kù)服務(wù)器執(zhí)行惡意的查詢。
■ 風(fēng)險(xiǎn)分析
惡意查詢有可能獲取后端數(shù)據(jù)庫(kù)保存的任何信息,例如客戶信用卡號(hào)碼的清單。
■ 解決方案
除了前面介紹的辦法——用程序代碼確保輸入內(nèi)容只包含有效字符,另一種更加健壯的辦法是使用SQL參數(shù)API(例如ADO.NET提供的API),讓編程環(huán)境的底層API(而不是程序員)來(lái)構(gòu)造查詢。
使用這些API時(shí),開發(fā)者或者提供一個(gè)查詢模板,或者提供一個(gè)存儲(chǔ)過(guò)程,然后指定一系列的參數(shù)值,由底層API將參數(shù)值嵌入到查詢模板,然后將構(gòu)造出來(lái)的查詢提交給服務(wù)器查詢。這種辦法的好處是確保參數(shù)能夠正確地嵌入,例如,系統(tǒng)將對(duì)引號(hào)進(jìn)行轉(zhuǎn)義處理,從根本上杜絕SQL注入式攻擊的發(fā)生。同時(shí),在表單中引號(hào)仍是一個(gè)允許輸入的有效字符,這也是使用底層API的一個(gè)優(yōu)點(diǎn)。
按照這種思路修改前文“篡改參數(shù)”部分的例子,結(jié)果如下:
SqlDataAdapter my_query = new SqlDataAdapter("SELECT * FROM accounts
WHERE acc_user= @user AND acc_password=@pass", the_connection);
SqlParameter userParam = my_query.Select_Command.Parameters.Add(
"@user",SqlDb.VarChar,20);
userParam.Value=user;
SqlParameter passwordParam = my_query.Select_Command.Parameters.Add(
"@",SqlDb.VarChar,20);
asswordParam.Value=password;
2.5 跨站腳本執(zhí)行
◎ 對(duì)外發(fā)的數(shù)據(jù)進(jìn)行編碼
跨站腳本執(zhí)行(Cross-site scripting)是指將惡意的用戶輸入嵌入到應(yīng)答(HTML)頁(yè)面。例如,下面的ASP.NET頁(yè)面雖然簡(jiǎn)單,卻包含著一個(gè)重大的安全缺陷:
<%@ Page Language="vb" %>
<asp:Label id="Label1" runat="server">
標(biāo)簽文字
</asp:Label>
<form method="post" runat="server" ID="Form1">
請(qǐng)?jiān)诖颂庉斎敕答佇畔ⅲ糱r>
<asp:Textbox ID="feedback" runat="server"/><br>
<asp:Button id="cmdSubmit" runat="server"
Text="提交!" >
</asp:Button>
</form>
<script runat="server">
Sub do_feedback(sender As Object, e As System.EventArgs)
Label1.Text=feedback.Text
End Sub
</script>
■ 風(fēng)險(xiǎn)分析
攻擊者可以用JavaScript代碼構(gòu)造一個(gè)惡意的查詢,點(diǎn)擊鏈接時(shí)JavaScript就會(huì)運(yùn)行。舉例來(lái)說(shuō),腳本可以通過(guò)下面的用戶輸入來(lái)嵌入:
<script>alert(document.cookie)
</script>
■ 解決方案
在一個(gè)雙層的安全體系中,對(duì)HTML頁(yè)面中出現(xiàn)的外發(fā)用戶數(shù)據(jù)執(zhí)行輸入驗(yàn)證和HTML編碼,確保瀏覽器只把用戶輸入數(shù)據(jù)當(dāng)成純粹的文本,而不是其他具有特殊含義的內(nèi)容,例如HTML代碼、JavaScript腳本。
對(duì)于本例,只要加入一個(gè)HtmlEncode調(diào)用即可:
Label1.Text=Server.HtmlEncode(feedback.Text)
這樣,應(yīng)答HTML流將包含用戶輸入內(nèi)容的HTML編碼版本,也就是說(shuō),瀏覽器不會(huì)執(zhí)行用戶輸入的JavaScript代碼,因?yàn)楦静淮嬖贖TML的“<SCRIPT>”標(biāo)記,用戶輸入的“<”和“>”字符已經(jīng)被替換成HTML編碼版本,即“<”和“>”。
三、使用自動(dòng)安全測(cè)試工具
由于客戶需求不斷變化,一些單位平均每三個(gè)月就要部署新的應(yīng)用,同時(shí)由于人員流動(dòng),所以對(duì)開發(fā)者快速開發(fā)健壯的、高質(zhì)量的代碼寄予很高的期望。雖然對(duì)所有開發(fā)者進(jìn)行代碼安全技術(shù)的培訓(xùn)是十分必要的,但不可否認(rèn),自動(dòng)檢測(cè)代碼安全漏洞的工具也有助于快速開發(fā)安全的應(yīng)用程序。
到目前為止,開發(fā)者常用的工具只能涵蓋功能測(cè)試的特定方面,例如性能測(cè)試,BUG/故障點(diǎn)偵查。人工檢查代碼有著許多與生俱來(lái)的局限,而且要求開發(fā)者具有豐富的代碼安全經(jīng)驗(yàn),所以對(duì)于編寫高質(zhì)量的應(yīng)用來(lái)說(shuō),面向應(yīng)用程序安全及其在惡意環(huán)境下行為的工具也是十分關(guān)鍵的。
要迅速提高應(yīng)用的質(zhì)量和安全性,最有效的辦法是給開發(fā)者提供一個(gè)自動(dòng)測(cè)試應(yīng)用的工具。如果在單元測(cè)試期間,工具能夠檢測(cè)出應(yīng)用的安全缺陷,并將修補(bǔ)建議嵌入到代碼之中,開發(fā)者就能立即找出代碼中存在的錯(cuò)誤,不僅方便了現(xiàn)有錯(cuò)誤的修改,而且也有助于避免將來(lái)再犯同樣的錯(cuò)誤,不斷地提高代碼抗御攻擊的能力。
結(jié)束語(yǔ)
Web服務(wù)應(yīng)用正在爆炸式增長(zhǎng),越來(lái)越多的應(yīng)用被推出到防火墻之外,安全性脆弱的Web應(yīng)用面臨的風(fēng)險(xiǎn)也只會(huì)有增無(wú)減。同時(shí),為了在緊迫的時(shí)限之前快速完成應(yīng)用開發(fā),開發(fā)者面臨的壓力也越來(lái)越大。注重編寫代碼時(shí)的安全問(wèn)題,同時(shí)投入必要的資源,這樣才能為未來(lái)的Web服務(wù)應(yīng)用做好準(zhǔn)備,同時(shí)確保當(dāng)前應(yīng)用的高質(zhì)量。只有從應(yīng)用的出生之日開始就采取正確的措施來(lái)確保其安全性,才能構(gòu)造出高質(zhì)量、安全的應(yīng)用。
