下面給出了五個例子��,闡述如何按照上述建議增強(qiáng)應(yīng)用程序的安全性�����。這些例子示范了代碼中可能出現(xiàn)的缺陷�����,以及它們帶來的安全風(fēng)險(xiǎn)�、如何改寫最少的代碼來有效地降低攻擊風(fēng)險(xiǎn)���。
1 篡改參數(shù)
◎ 使用ASP.NET域驗(yàn)證器
盲目信任用戶輸入是保障Web應(yīng)用安全的第一敵人�。用戶輸入的主要來源是HTML表單中提交的參數(shù),如果不能嚴(yán)格地驗(yàn)證這些參數(shù)的合法性�����,就有可能危及服務(wù)器的安全���。
下面的C#代碼查詢后端SQL Server數(shù)據(jù)庫�����,假設(shè)user和password變量的值直接取自用戶輸入:
SqlDataAdapter my_query = new SqlDataAdapter(
"SELECT * FROM accounts WHERE acc_user='" + user + "' AND acc_password='" + password, the_connection);
從表面上看����,這幾行代碼毫無問題�����,實(shí)際上卻可能引來SQL注入式攻擊�。攻擊者只要在user輸入域中輸入“OR 1=1”,就可以順利登錄系統(tǒng)����,或者只要在查詢之后加上適當(dāng)?shù)恼{(diào)用�����,就可以執(zhí)行任意Shell命令:
'; EXEC master..xp_cmdshell(Oshell command here')--
■ 風(fēng)險(xiǎn)分析
在編寫這幾行代碼時�,程序員無意之中作出了這樣的假定:用戶的輸入內(nèi)容只包含“正常的”數(shù)據(jù)——合乎人們通常習(xí)慣的用戶名字���、密碼�����,但不會包含引號之類的特殊字符����,這正是SQL注入式攻擊能夠得逞的根本原因��。黑客們可以借助一些具有特殊含義的字符改變查詢的本意��,進(jìn)而調(diào)用任意函數(shù)或過程�。
■ 解決方案
域驗(yàn)證器是一種讓ASP.NET程序員對域的值實(shí)施限制的機(jī)制�����,例如�����,限制用戶輸入的域值必須匹配特定的表達(dá)式。
要防止上述攻擊行為得逞����,第一種辦法是禁止引號之類的特殊字符輸入,第二種辦法更嚴(yán)格�,即限定輸入域的內(nèi)容必須屬于某個合法字符的集合,例如“[a-zA-Z0-9]*”�。
2 篡改參數(shù)之二
◎ 避免驗(yàn)證操作的漏洞
然而,僅僅為每個輸入域引入驗(yàn)證器還不能防范所有通過修改參數(shù)實(shí)施的攻擊�。在執(zhí)行數(shù)值范圍檢查之時,還要指定正確的數(shù)據(jù)類型��。
也就是說�,在使用ASP.NET的范圍檢查控件時,應(yīng)當(dāng)根據(jù)輸入域要求的數(shù)據(jù)類型指定適當(dāng)?shù)腡ype屬性�,因?yàn)門ype的默認(rèn)值是String。
<!-- 要求輸入值必須是1-9之間的數(shù)字 -->
<asp:RangeValidator ... MinimumValue="1" MaximumValue="9" .../>
■ 風(fēng)險(xiǎn)分析
由于沒有指定Type屬性值�����,上面的代碼將假定輸入值的類型是String����,因此RangeValidator驗(yàn)證器只能確保字符串由0-9之間的字符開始����,“0abcd”也會被認(rèn)可����。
■ 解決方案
要確保輸入值確實(shí)是整數(shù),正確的辦法是將Type屬性指定為Integer:
<!-- 要求輸入值必須是1-9之間的數(shù)字 -->
<asp:RangeValidator ... MinimumValue="1"
MaximumValue="9" Type="Integer"
3 信息泄漏
◎ 讓隱藏域更加安全
在ASP.NET應(yīng)用中�,幾乎所有HTML頁面的__VIEWSTATE隱藏域中都可以找到有關(guān)應(yīng)用的信息。由于__VIEWSTATE是BASE 64編碼的�,所以常常被忽略,但黑客可以方便地解碼BASE 64數(shù)據(jù)�����,用不著花什么力氣就可以得到__VIEWSTATE提供的詳細(xì)資料�。
■ 風(fēng)險(xiǎn)分析
默認(rèn)情況下,__VIEWSTATE數(shù)據(jù)將包含:
⑴ 來自頁面控件的動態(tài)數(shù)據(jù)�。
⑵ 程序員在ViewState中顯式保存的數(shù)據(jù)。
⑶ 上述數(shù)據(jù)的密碼簽字�。
■ 解決方案
設(shè)置EnableViewStatMAC="true",啟用__VIEWSTATE數(shù)據(jù)加密功能��。然后�����,將machineKey驗(yàn)證類型設(shè)置成3DES�,要求ASP.NET用Triple DES對稱加密算法加密ViewState數(shù)據(jù)。
4 SQL注入式攻擊
◎ 使用SQL參數(shù)API
正如前文“篡改參數(shù)”部分描述的�����,攻擊者可以在輸入域中插入特殊字符����,改變SQL查詢的本意,欺騙數(shù)據(jù)庫服務(wù)器執(zhí)行惡意的查詢�����。
■ 風(fēng)險(xiǎn)分析
惡意查詢有可能獲取后端數(shù)據(jù)庫保存的任何信息�����,例如客戶信用卡號碼的清單��。
■ 解決方案
除了前面介紹的辦法——用程序代碼確保輸入內(nèi)容只包含有效字符���,另一種更加健壯的辦法是使用SQL參數(shù)API(例如ADO.NET提供的API)�����,讓編程環(huán)境的底層API(而不是程序員)來構(gòu)造查詢�����。
使用這些API時�����,程序員或者提供一個查詢模板����,或者提供一個存儲過程,然后指定一系列的參數(shù)值���,由底層API將參數(shù)值嵌入到查詢模板���,然后將構(gòu)造出來的查詢提交給服務(wù)器查詢。這種辦法的好處是確保參數(shù)能夠正確地嵌入����,例如,系統(tǒng)將對引號進(jìn)行轉(zhuǎn)義處理�,從根本上杜絕SQL注入式攻擊的發(fā)生���。同時�����,在表單中引號仍是一個允許輸入的有效字符����,這也是使用底層API的一個優(yōu)點(diǎn)。
按照這種思路修改前文“篡改參數(shù)”部分的例子����,結(jié)果如下:
