web 安全知识
目录
背景最简单的 Web 物理架构攻击方式总览Web 软件安全攻击防护浏览器安全攻击Cookie 假冒隐藏变量修改跨站脚本攻击服务器安全攻击缓冲区溢出认证逃避非法输入授权逃避SQL 注入异常敏感信息泄露上传攻击抵赖数据库安全攻击连接字符串暴漏存储数据泄露和篡改网络安全攻击拒绝服务攻击传输数组泄露、篡改备注
背景返回目录
说来惭愧,6 年的 web 编程生涯,一直没有真正系统的学习 web 安全知识(认证和授权除外),这个月看了一本《Web 安全设计之道》,书中的内容多是从微软官方文档翻译而来,这本书的含金量不高,不过也不能说没有收获,本文简单记录一下我学习 Web 安全方面的笔记。
本文不涉及 IIS、Windows 和 SqlServer 的安全管理与配置,尽量只谈编程相关的安全问题。
最简单的 Web 物理架构返回目录
您必须了解 HTTP 协议,可以阅读这篇文章:HTTP 协议详解,简单总结如下:
- 浏览器和服务器的通信采用无状态的 HTTP 协议。
- 通过控制 HTTP 的请求头,可以控制:客户端缓存、Cookie、请求编码、相应编码等。
- 请求内容向服务器提交数据(POST 和 GET),响应内容向浏览器发送数据。
- Cookie 包含在每个请求和响应中,因此客户端和服务器都可以访问到。
- 一般使用 Cookie 来维护一个浏览器会话(也有其他方式)。
攻击方式总览返回目录
这里有一个一般性的介绍:网站安全。
Web 软件安全攻击防护返回目录
浏览器安全攻击返回目录
Cookie 假冒返回目录
定义
非期望的修改 Cookie 的值。
场景
服务器将用户的授权信息存储在 Cookie 中,然后客户端用这些 Cookie 决定导航的显示与否。如果有程序恶意的修改了Cookie,会导致权限提升。
攻击方式
- 注入的 Javascript 代码。
- 使用浏览器调试工具。
- 本机病毒等。
防护措施
- 尽量将 Cookie 设置为 HttpOnly,浏览器伪造不了这种 Cookie。
- 防止 Javascript 注入。
隐藏变量修改返回目录
定义
非期望的修改隐藏变量。
场景
订单的折扣计算完全依赖客户端的某个变量,这个变量是从服务器生成的,所有逻辑都在客户端计算,服务器只是接受最后的计算结果。如果有程序恶意的修改了变量,会绕过某些业务逻辑。
攻击方式
- 注入的 Javascript 代码。
- 使用浏览器调试工具。
保护措施
- 防止 Javascript 注入。
- 关键的功能不要依靠客户端控制,要采用服务器控制。
跨站脚本攻击返回目录
定义
恶意的提交 Javascript 代码。
场景
在博客的评论功能中,如果用户恶意的提交 Javascript 代码,假如这些 Javascript 没有被过滤,极端的情况下,这些代码会劫持所有访问此页面用户的会话,访问和修改任意数据。
攻击方式
- 注入的 Javascript 代码。
- 使用浏览器调试工具。
保护措施
- 在服务器端验证和过滤恶意输入。
- 开启 ValidateRequest="true"。
- 对输出使用 this.Server.HtmlEncode。
服务器安全攻击返回目录
缓冲区溢出返回目录
定义
某些可能输入会导致服务器堆栈溢出,这直接致使服务器不可用。
场景
程序提供了某项计算密集型的功能,此功能没有限制用户输入,用户在有意或无意之间输入了一个非法的值,导致了缓冲区溢出。
攻击方式
- 非法输入。
保护措施
- 在服务器端验证和过滤恶意输入。
- 采用防伪式编程。
认证逃避返回目录
定义
某些 URL 没有出现在主页导航界面,系统只对导航页面进行了认证和授权管理,这些没有出现在导航中的 URL 可能被恶意用户给分析出来,直接进行访问。
场景
用户管理分为三个页面:List.aspx、New.aspx,程序只对 List.aspx 进行认证和授权了,某些用户直接访问 New.aspx 执行添加操作。
攻击方式
- 直接地址访问。
保护措施
- 梳理网站的整体结构,对所有页面进行认证和授权管理。
非法输入返回目录
定义
病从口入,祸从口出。很多攻击方式都是因为非法输入导致的。
场景
程序只在客户端对输入进行了验证,服务器未做任何验证,恶意的程序可以绕过客户端逻辑直接向服务器提交非法输入,这很容易导致各种安全问题。
攻击方式
- 注入的 Javascript 代码。
- 使用浏览器调试工具。
保护措施
- 在服务器端验证和过滤恶意输入。
- 防止 Javascript 注入。
授权逃避返回目录
定义
某些 URL 没有出现在主页导航界面,系统只对导航页面进行了认证和授权管理,这些没有出现在导航中的 URL 可能被恶意用户给分析出来,直接进行访问。还有一种可能是:系统只在客户端进行了授权管理,服务器代码并没有进行授权验证,恶意用户很容易就可以逃避授权。
场景
当用户没有 Create 权限的时候,系统只是禁用了浏览器按钮,并没有做服务器授权,然后用户使用浏览器调试工具启用了按钮,就可以执行 Create 了。
攻击方式
- 直接地址访问。
- 修改客户端代码。
保护措施
- 梳理网站的整体结构,对所有页面进行认证和授权管理。
- 在服务器进行授权管理。
SQL 注入返回目录
定义
对于和后台数据库产生交互的网页,如果没有对用户输入数据的合法性进行全面的判断,就会使应用程序存在安全隐患。用户可以在可以提交正常数据的URL或者表单输入框中提交一段精心构造的数据库查询代码,使后台应用执行攻击着的SQL代码,攻击者根据程序返回的结果,获得某些他想得知的敏感数据,如管理员密码,保密商业资料等。
场景
服务器程序使用字符串拼接的方式来构造 SQL 语句,这就会导致 SQL 注入攻击的可能。
攻击方式
- 恶意的提交 SQL 片段。
保护措施
- 在服务器端验证和过滤恶意输入。
- 不要拼凑 SQL 参数,采用 DbParameter 设置参数。
- 最小化 SQL Server 访问账户的权限。
异常敏感信息泄露返回目录
定义
未处理异常直接显示到浏览器,这会导致敏感信息被泄露,对最终用户来说,也会让他们感觉系统不够安全和易用。
场景
因为开发原因,在某些场景下浏览器将后端的异常直接显示给浏览器了,如:NullReferenceException等。
攻击方式
- 在调用的最上层,为处理掉全部异常。
- 在调用的下层,为封装合适的异常信息。
保护措施
- 定义合理的异常处理策略。
- 异常一定不能跨越边界直接显示到浏览器。
上传攻击返回目录
定义
用户恶意的上传外挂、木马和其它程序等。
场景
你做了一个上传功能,结果对上传的文件没有做好足够的控制,比如:某些恶意的用户会上传一些恶意的脚本,然后执行这些脚本。
攻击方式
- 上传恶意文件。
保护措施
- 在服务器端验证和过滤恶意输入,如:后缀名限制。
- 对上传后的文件进行扫描和杀毒。
抵赖返回目录
定义
某些用户由于某些原因,不愿意承认自己执行过某些操作,当然,某些操作可能是他们没有意识的情况下执行的。
场景
用户一不小心执行的删除操作,然后立即发现自己操作错误了,然后他打电话给售后,说系统有问题。
攻击方式
- 界面引导不够友好,容易导致误操作,为了推卸责任,进行抵赖。
- 用户恶意的执行操作,然后抵赖。
保护措施
- 提高界面的易用性。
- 关键操作的提醒要足够明显。
- 所有操作要留下操作日志。
数据库安全攻击返回目录
连接字符串暴漏返回目录
定义
数据库连接字符串中包含用户名和密码,这些信息以明文的形式存储在配置文件中,运维和开发人员都能看得到,随着团队人员的流动,这些敏感信息也会暴漏。
场景
直接将连接字符串配置在 Web.Config 中,而这个文件没有被加密。
攻击方式
- 未加密连接字符串。
- 未加密配置文件。
保护措施
- 加密连接字符串。
- 加密配置文件。
存储数据泄露和篡改返回目录
定义
某些敏感信息最终需要被存储在数据库中,如果这些信息被存储为明文,会有很多人员可以看到这些信息,极端情况下,某些黑客攻陷了服务器,也可以看到这些数据。
场景
为加密密码、关键财务信息,税务局来查账了。
攻击方式
- 未加密敏感数据。
- 加密方法过于简单。
保护措施
- 加密敏感数据。
- 对某些数据采用不可逆加密,如:密码。
- 对某些数据采用可逆加密,如:财务数据。
网络安全攻击返回目录
拒绝服务攻击返回目录
定义
恶意用户试图攻击服务器、网络和系统,最终的目的是让系统不可用,停止对外服务。
场景
恶意用户在尝试并发的无限制的向服务器发送请求,试图让服务器的负载达到最大,最终让系统停止对外服务。
攻击方式
- 攻击网络。
- 攻击服务器。
- 攻击系统。
保护措施
- 在程序级别,识别并拦截恶意的请求。
- 购买第三方安全软件。
传输数组泄露、篡改返回目录
定义
恶意的代理服务器或路由器拦截用户的请求,读取或修改敏感数据。
场景
您在咖啡馆发现了一个免费的 WIFI,然后偷偷的接入了,您还暗自高兴,当您使用这个免费的 WIFI 进行网上冲浪的时候,您的各种信息都会被 WIFI 给拦截,如果是恶意的用户,结果可想而知。
攻击方式
- 绑架路由器。
- 免费 WIFI 骗局。
- 为加密的传输协议。
- 未加密的传输数据。
保护措施
- 加强客户端路由的安全管理。
- 慎重的选择代理服务器。
- 使用安全的传输协议,如:SSL。
备注返回目录
这篇算是安全方面的 Hello,World了,今后好好好学习一下安全方面的知识,目前找到了两个好的资源,如:
web 安全知识的更多相关文章
- web前端知识体系总结
1. 前言 大约在几个月之前,让我看完了<webkit技术内幕>这本书的时候,突然有了一个想法.想把整个web前端开发所需要的知识都之中在一个视图中,形成一个完整的web前端知识体系,目的 ...
- 自己总结的web前端知识体系大全【欢迎补充】
1. 前言 大约在几个月之前,让我看完了<webkit技术内幕>这本书的时候,突然有了一个想法.想把整个web前端开发所需要的知识都之中在一个视图中,形成一个完整的web前端知识体系,目的 ...
- WEB前端知识体系脑图
说在开始的话: 我上大学那会,虽说主要是学Java语言,但是web前端也稍微学了一些,那时候对前端也没多在意,因为涉入的不深,可以搞一个差不多可以看的界面就可以了,其他也没过多在意. 因为稍微了解一点 ...
- web前端知识体系大全
1. 前言 大约在几个月之前,让我看完了<webkit技术内幕>这本书的时候,突然有了一个想法.想把整个web前端开发所需要的知识都之中在一个视图中,形成一个完整的web前端知识体系,目的 ...
- web前端知识体系小结(转)
1. 前言 大约在几个月之前,让我看完了<webkit技术内幕>这本书的时候,突然有了一个想法.想把整个web前端开发所需要的知识都之中在一个视图中,形成一个完整的web前端知识体系,目的 ...
- WEB相关知识和Tomcat服务器
WEB相关知识 1.Internet上供外界访问的Web资源分为: 静态web资源:指web页面中供人们浏览的数据始终是不变的. 动态web资源:指web页面中供人们浏览的数据是由程序产生的,不同时间 ...
- Web基础知识和技术
WEB是一个外延广泛的概念,不单单指网站,乌徒帮专注拥有WEB界面的网站开发,帮助初学者或已经进入开发的朋友们提供参考讨论平台,然而并不一定能将所有的WEB知识讲全讲透,只是能满足初涉者的建站需求,能 ...
- (1)写给Web初学者的教案-----学习Web的知识架构
1:学习Web的知识架构 前文中我们简单的介绍了一些关于Web的基本知识,这里任老师再次强调一下凡是用浏览器打开的网站我们就称之为Web应用程序(B/S结构).除此之外其它需要下载安装的软件或是手机 ...
- Web前端知识体系精简
Web前端技术由html.css和javascript三大部分构成,是一个庞大而复杂的技术体系,其复杂程度不低于任何一门后端语言.而我们在学习它的时候往往是先从某一个点切入,然后不断地接触和学习新的知 ...
随机推荐
- php实现和c#一致的DES加密解密
原文:php实现和c#一致的DES加密解密 php实现和c#一致的DES加密解密,可以从网上搜到一大堆,但是测试后发现都没法用.以下正确代码是我经过苦苦才找到的.希望大家在系统整合时能用的上. 注意: ...
- HTML DOM的nodeName,nodeValue,nodeType介绍
将HTML DOM中几个常用的属性做下介绍,工作中作为参考. nodeName 属性可依据节点的类型返回其名称. 元素节点的 nodeName 是标签名称 属性节点的 nodeName 是属性名称 文 ...
- ASP.NET的CMS
最受欢迎的ASP.NET的CMS下载 1. Umbraco 项目地址 | 下载 Umbraco是一个开放源码的CMS内容管理系统,基于asp.net建立,使用mssql进行存储数据. 使用Umbrac ...
- AngularJS之使用服务封装可复用代码
创建服务组件 在AngularJS中创建一个服务组件很简单,只需要定义一个具有$get方法的构造函数, 然后使用模块的provider方法进行登记: //定义构造函数 var myServicePro ...
- JavaScript中,关于new的那些事
这篇文章是自己对new学习过程中的一些理解,有不对的地方希望指出,接受组织的批评教育. 导火线,前段时间学习jQuery的时候,看到源码中有这样一段: jQuery = function(select ...
- Unofficial Microsoft SQL Server Driver for PHP (sqlsrv)非官方的PHP SQL Server 驱动
原文 Unofficial Microsoft SQL Server Driver for PHP (sqlsrv) Here are unofficial modified builds of Mi ...
- 安卓MonkeyRunner源码分析之启动
在工作中因为要追求完成目标的效率,所以更多是强调实战,注重招式,关注怎么去用各种框架来实现目的.但是如果一味只是注重招式,缺少对原理这个内功的了解,相信自己很难对各种框架有更深入的理解. 从几个月前开 ...
- 递归与尾递归(C语言)
原文:递归与尾递归(C语言)[转] 作者:archimedes 出处:http://www.cnblogs.com/archimedes/ 本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留 ...
- C++中出现的计算机术语4
adaptor(适配器) 一种标准库类型.函数或迭代器,使某种标准库类型.函数或迭代器的行为类似于第二种标准库类型.函数或迭代器.系统提供了三种顺序容器适配器:stack(栈).queue(队列)以及 ...
- IE8下div中2个button仅仅显示一个
IE8下div中2个button仅仅显示一个,代码例如以下: <div id="adviceType" style="display: none;" &g ...