Web应用中常见39种不同的安全漏洞漏洞分析及检查方法
1.1 SQL注入漏洞
风险等级:高危
漏洞描述:
SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验,即没有进行有效地特殊字符过滤,导致网站服务器存在安全风险,这就是SQL Injection,即SQL注入漏洞。
漏洞危害:
1) 机密数据被窃取;
2) 核心业务数据被篡改;
3) 网页被篡改;
4) 数据库所在服务器被攻击从而变为傀儡主机,导致局域网(内网)被入侵。
修复建议:
1) 在网页代码中对用户输入的数据进行严格过滤;(代码层)
2) 部署Web应用防火墙;(设备层)
3) 对数据库操作进行监控。(数据库层)
代码层最佳防御sql漏洞方案:采用sql语句预编译和绑定变量,是防御sql注入的最佳方法。
原因:采用了PreparedStatement,就会将sql语句:"select id, no from user where id=?" 预先编译好,也就是SQL引擎会预先进行语法分析,产生语法树,生成执行计划,也就是说,后面你输入的参数,无论你输入的是什么,都不会影响该sql语句的 语法结构了,因为语法分析已经完成了,而语法分析主要是分析sql命令,比如select ,from ,where ,and, or ,order by 等等。所以即使你后面输入了这些sql命令,也不会被当成sql命令来执行了,因
为这些sql命令的执行, 必须先的通过语法分析,生成执行计划,既然语法分析已经完成,已经预编译过了,那么后面输入的参数,是绝对不可能作为sql命令来执行的,只会被当做字符串字面值参数,所以sql语句预编译可以防御sql注入。
其他防御方式:正则过滤
 
1.2 目录遍历漏洞
风险等级:中危
漏洞描述:
通过该漏洞可以获取系统文件及服务器的配置文件。利用服务器API、文件标准权限进行攻击。
漏洞危害:
黑客可获得服务器上的文件目录结构,从而下载敏感文件。
修复建议:
1) 通过修改配置文件,去除中间件(如IIS、apache、tomcat)的文件目录索引功能
2) 设置目录权限
3) 在每个目录下创建一个空的index.html页面。
 
1.3 跨站脚本漏洞
即XSS漏洞,利用跨站脚本漏洞可以在网站中插入任意代码,它能够获取网站管理员或普通用户的cookie,隐蔽运行网页木马,甚至格式化浏览者的硬盘。
漏洞危害:
1) 网络钓鱼,盗取管理员或用户帐号和隐私信息等;
2) 劫持合法用户会话,利用管理员身份进行恶意操作,篡改页面内容、进一步渗透网站;
3) 网页挂马、传播跨站脚本蠕虫等;
4) 控制受害者机器向其他系统发起攻击。
修复建议:
设置httponly
httponly无法完全的防御xss漏洞,它只是规定了不能使用js去获取cookie的内容,因此它只能防御利用xss进行cookie劫持的问题。Httponly是在set-cookie时标记的,可对单独某个参数标记也可对全部参数标记。由于设置httponly的方法比较简单,使用也很灵活,并且对防御cookie劫持非常有用,因此已经渐渐成为一种默认的标准。
xss filter
Xss filter往往是一个文本文件,里面包含了允许被用户输入提交的字符(也有些是包含不允许用户提交的字符)。它检测的点在于用户输入的时候,xss filter分为白名单与黑名单,推荐使用白名单,但即使使用白名单还是无法完全杜绝xss问题,并且使用不当可能会带来很高的误报率。
编码转义
编码方式有很多,比如html编码、url编码、16进制编码、javascript编码等。在处理用户输入时,除了用xss filter的方式过滤一些敏感字符外,还需要配合编码,将一些敏感字符通过编码的方式改变原来的样子,从而不能被浏览器当成js代码执行。
处理富文本
有些网页编辑器允许用户提交一些自定义的html代码,称之为”富文本”。想要在富文本处防御xss漏洞,最简单有效的方式就是控制用户能使用的标签,限制为只能使用a、div等安全的标签。
处理所有输出类型的xss漏洞
xss漏洞本质上是一种html注入,也就是将html代码注入到网页中。那么其防御的根本就是在将用户提交的代码显示到页面上时做好一系列的过滤与转义。
其他修复方案
1) 开发者应该严格按照openid和openkey的校验规则判断openid和openkey是否合法,且判断其它参数的合法性,不合法不返回任何内容。
2) 严格限制URL参数输入值的格式,不能包含不必要的特殊字符( %0d、%0a、%0D 、%0A 等)。
3) 针对ASP.NET的防XSS库,Microsoft有提供统一的库,具体可以参见如下链接 微软:
4) 具体的js方法如下:
(1)对于用户输入的参数值展现在HTML正文中或者属性值中的情况,例如:
展现在html正文中:<a href='Un-trusted'>'>Un-trusted input</a> 展现在属性值中: <input name="searchword" value="Un-trusted input"> 此时需要将红的不可信内容中做如下的转码(即将<> ‘ “ ' 转成html实体):
 
(2)对于用户输入落在<script>的内容中的情况,例如:
<script type="text/javascript"> … var mymsg="Un-trusted input"; var uin=Un-trusted input; … </script>
 
1.4未过滤HTML代码漏洞
由于页面未过滤HTML代码,攻击者可通过精心构造XSS代码(或绕过防火墙防护策略),实现跨站脚本攻击等。
404页面网站源码可带来如下危害:
1) 恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash利用应用的漏洞,从而获取其他用户信息;
2) 攻击者能盗取会话cookie、获取账户、模拟其他用户身份,甚至可以修改网页呈现给其他用户的内容。