一、不能盲目相信用戶輸入
在Web應(yīng)用開發(fā)中�����,程序員最大的失誤往往是無條件地信任用戶輸入�����,假定用戶(即使是惡意用戶)總是受到瀏覽器的限制��,總是通過瀏覽器和服務(wù)器交互���,從而打開了攻擊Web應(yīng)用的大門����。實(shí)際上����,黑客們攻擊和操作Web網(wǎng)站的工具很多,根本不必局限于瀏覽器��,從最低級的字符模式的原始界面(例如telnet)����,到CGI腳本掃描器、Web代理�、Web應(yīng)用掃描器,惡意用戶可能采用的攻擊模式和手段很多��。
因此����,只有嚴(yán)密地驗(yàn)證用戶輸入的合法性,才能有效地抵抗黑客的攻擊��。應(yīng)用程序可以用多種方法(甚至是驗(yàn)證范圍重疊的方法)執(zhí)行驗(yàn)證�,例如,在認(rèn)可用戶輸入之前執(zhí)行驗(yàn)證,確保用戶輸入只包含合法的字符��,而且所有輸入域的內(nèi)容長度都沒有超過范圍(以防范可能出現(xiàn)的緩沖區(qū)溢出攻擊)����,在此基礎(chǔ)上再執(zhí)行其他驗(yàn)證,確保用戶輸入的數(shù)據(jù)不僅合法�,而且合理。必要時不僅可以采取強(qiáng)制性的長度限制策略��,而且還可以對輸入內(nèi)容按照明確定義的特征集執(zhí)行驗(yàn)證�����。下面幾點(diǎn)建議將幫助你正確驗(yàn)證用戶輸入數(shù)據(jù):
⑴ 始終對所有的用戶輸入執(zhí)行驗(yàn)證�,且驗(yàn)證必須在一個可靠的平臺上進(jìn)行,應(yīng)當(dāng)在應(yīng)用的多個層上進(jìn)行���。
⑵ 除了輸入����、輸出功能必需的數(shù)據(jù)之外�,不要允許其他任何內(nèi)容。
⑶ 設(shè)立“信任代碼基地”���,允許數(shù)據(jù)進(jìn)入信任環(huán)境之前執(zhí)行徹底的驗(yàn)證�����。
⑷ 登錄數(shù)據(jù)之前先檢查數(shù)據(jù)類型���。
⑸ 詳盡地定義每一種數(shù)據(jù)格式,例如緩沖區(qū)長度�����、整數(shù)類型等����。
⑹ 嚴(yán)格定義合法的用戶請求,拒絕所有其他請求���。
⑺ 測試數(shù)據(jù)是否滿足合法的條件��,而不是測試不合法的條件���。這是因?yàn)閿?shù)據(jù)不合法的情況很多,難以詳盡列舉�����。
二、五種常見的ASP.NET安全缺陷
下面給出了五個例子�����,闡述如何按照上述建議增強(qiáng)應(yīng)用程序的安全性�。這些例子示范了代碼中可能出現(xiàn)的缺陷,以及它們帶來的安全風(fēng)險�、如何改寫最少的代碼來有效地降低攻擊風(fēng)險。
2.1 篡改參數(shù)
◎ 使用ASP.NET域驗(yàn)證器
盲目信任用戶輸入是保障Web應(yīng)用安全的第一敵人���。用戶輸入的主要來源是HTML表單中提交的參數(shù)��,如果不能嚴(yán)格地驗(yàn)證這些參數(shù)的合法性����,就有可能危及服務(wù)器的安全��。
下面的C#代碼查詢后端SQL Server數(shù)據(jù)庫����,假設(shè)user和password變量的值直接取自用戶輸入:
SqlDataAdapter my_query = new SqlDataAdapter(
"SELECT * FROM accounts WHERE acc_user='" + user + "' AND acc_password='" + password, the_connection);
從表面上看,這幾行代碼毫無問題����,實(shí)際上卻可能引來SQL注入式攻擊���。攻擊者只要在user輸入域中輸入“OR 1=1”,就可以順利登錄系統(tǒng)����,或者只要在查詢之后加上適當(dāng)?shù)恼{(diào)用����,就可以執(zhí)行任意Shell命令:
'; EXEC master..xp_cmdshell(Oshell command here')--
■ 風(fēng)險分析
在編寫這幾行代碼時,程序員無意之中作出了這樣的假定:用戶的輸入內(nèi)容只包含“正常的”數(shù)據(jù)——合乎人們通常習(xí)慣的用戶名字���、密碼�,但不會包含引號之類的特殊字符�����,這正是SQL注入式攻擊能夠得逞的根本原因���。黑客們可以借助一些具有特殊含義的字符改變查詢的本意����,進(jìn)而調(diào)用任意函數(shù)或過程。
■ 解決方案
域驗(yàn)證器是一種讓ASP.NET程序員對域的值實(shí)施限制的機(jī)制����,例如,限制用戶輸入的域值必須匹配特定的表達(dá)式���。
要防止上述攻擊行為得逞�����,第一種辦法是禁止引號之類的特殊字符輸入��,第二種辦法更嚴(yán)格���,即限定輸入域的內(nèi)容必須屬于某個合法字符的集合,例如“[a-zA-Z0-9]*”���。
2.2 篡改參數(shù)之二
◎ 避免驗(yàn)證操作的漏洞
然而�,僅僅為每個輸入域引入驗(yàn)證器還不能防范所有通過修改參數(shù)實(shí)施的攻擊����。在執(zhí)行數(shù)值范圍檢查之時,還要指定正確的數(shù)據(jù)類型�。
也就是說��,在使用ASP.NET的范圍檢查控件時����,應(yīng)當(dāng)根據(jù)輸入域要求的數(shù)據(jù)類型指定適當(dāng)?shù)腡ype屬性��,因?yàn)門ype的默認(rèn)值是String����。
<!-- 要求輸入值必須是1-9之間的數(shù)字 -->
<asp:RangeValidator ... MinimumValue="1" MaximumValue="9" .../>
■ 風(fēng)險分析
由于沒有指定Type屬性值,上面的代碼將假定輸入值的類型是String����,因此RangeValidator驗(yàn)證器只能確保字符串由0-9之間的字符開始�,“0abcd”也會被認(rèn)可。
■ 解決方案
要確保輸入值確實(shí)是整數(shù)���,正確的辦法是將Type屬性指定為Integer:
<!-- 要求輸入值必須是1-9之間的數(shù)字 -->
<asp:RangeValidator ... MinimumValue="1"
MaximumValue="9" Type="Integer"
2.3 信息泄漏
◎ 讓隱藏域更加安全
在ASP.NET應(yīng)用中��,幾乎所有HTML頁面的__VIEWSTATE隱
