為了用最小的代價保障應用程式的安全,在程式碼本身的安全性、抗禦攻擊的能力等方面,開發者應當擔負更多的責任。然而,要從開發的最初階段保障程式的安全性,必須具有相應的技能和工具,而真正掌握這些技能和工具的開發者並不是很多。雖然學寫安全的程式碼是一個複雜的過程,最好在大學、內部培訓會、行業會議上完成,但只要掌握了下面五種常見的ASP.NET應用安全缺陷以及推薦的修正方案,就能夠領先一步,將不可或缺的安全因素融入到應用的出生之時。
一、不能盲目相信使用者輸入
在Web應用開發中,開發者最大的失誤往往是無條件地信任使用者輸入,假定使用者(即使是惡意使用者)總是受到瀏覽器的限制,總是通過瀏覽器和伺服器互動,從而開啟了攻擊Web應用的大門。實際上,黑客們攻擊和操作Web網站的工具很多,根本不必侷限於瀏覽器,從最低階的字元模式的原始介面(例如telnet),到CGI指令碼掃描器、Web代理、Web應用掃描器,惡意使用者可能採用的攻擊模式和手段很多。
因此,只有嚴密地驗證使用者輸入的合法性,才能有效地抵抗黑客的攻擊。應用程式可以用多種方法(甚至是驗證範圍重疊的方法)執行驗證,例如,在認可使用者輸入之前執行驗證,確保使用者輸入只包含合法的字元,而且所有輸入域的內容長度都沒有超過範圍(以防範可能出現的緩衝區溢位攻擊),在此基礎上再執行其他驗證,確保使用者輸入的資料不僅合法,而且合理。必要時不僅可以採取強制性的長度限制策略,而且還可以對輸入內容按照明確定義的特徵集執行驗證。下面幾點建議將幫助你正確驗證使用者輸入資料:
⑴ 始終對所有的使用者輸入執行驗證,且驗證必須在一個可靠的平臺上進行,應當在應用的多個層上進行。
⑵ 除了輸入、輸出功能必需的資料之外,不要允許其他任何內容。
⑶ 設立“信任程式碼基地”,允許資料進入信任環境之前執行徹底的驗證。
⑷ 登入資料之前先檢查資料型別。
⑸ 詳盡地定義每一種資料格式,例如緩衝區長度、整數型別等。
⑹ 嚴格定義合法的使用者請求,拒絕所有其他請求。
⑺ 測試資料是否滿足合法的條件,而不是測試不合法的條件。這是因為資料不合法的情況很多,難以詳盡列舉。
二、五種常見的ASP.NET安全缺陷
下面給出了五個例子,闡述如何按照上述建議增強應用程式的安全性。這些例子示範了程式碼中可能出現的缺陷,以及它們帶來的安全風險、如何改寫最少的程式碼來有效地降低攻擊風險。
2.1 篡改引數
◎ 使用ASP.NET域驗證器
盲目信任使用者輸入是保障Web應用安全的第一敵人。使用者輸入的主要來源是HTML表單中提交的引數,如果不能嚴格地驗證這些引數的合法性,就有可能危及伺服器的安全。
下面的C#程式碼查詢後端SQL Server資料庫,假設user和password變數的值直接取自使用者輸入:
SqlDataAdapter my_query = new SqlDataAdapter(
“SELECT * FROM accounts WHERE acc_user=`” + user + “` AND acc_password=`” + password, the_connection);
從表面上看,這幾行程式碼毫無問題,實際上卻可能引來SQL隱碼攻擊式攻擊。攻擊者只要在user輸入域中輸入“OR 1=1”,就可以順利登入系統,或者只要在查詢之後加上適當的呼叫,就可以執行任意Shell命令:
`; EXEC master..xp_cmdshell(Oshell command here`)–
■ 風險分析
在編寫這幾行程式碼時,開發者無意之中作出了這樣的假定:使用者的輸入內容只包含“正常的”資料—-合乎人們通常習慣的使用者名稱字、密碼,但不會包含引號之類的特殊字元,這正是SQL隱碼攻擊式攻擊能夠得逞的根本原因。黑客們可以藉助一些具有特殊含義的字元改變查詢的本意,進而呼叫任意函式或過程。
■ 解決方案
域驗證器是一種讓ASP.NET開發者對域的值實施限制的機制,例如,限制使用者輸入的域值必須匹配特定的表示式。
要防止上述攻擊行為得逞,第一種辦法是禁止引號之類的特殊字元輸入,第二種辦法更嚴格,即限定輸入域的內容必須屬於某個合法字元的集合,例如“[a-zA-Z0-9]*”。
2.2 篡改引數之二
◎ 避免驗證操作的漏洞
然而,僅僅為每個輸入域引入驗證器還不能防範所有通過修改引數實施的攻擊。在執行數值範圍檢查之時,還要指定正確的資料型別。
也就是說,在使用ASP.NET的範圍檢查控制元件時,應當根據輸入域要求的資料型別指定適當的Type屬性,因為Type的預設值是String。
<!– 要求輸入值必須是1-9之間的數字 –>
<asp:RangeValidator … MinimumValue=”1″ MaximumValue=”9″ …/>
■ 風險分析
由於沒有指定Type屬性值,上面的程式碼將假定輸入值的型別是String,因此RangeValidator驗證器只能確保字串由0-9之間的字元開始,“0abcd”也會被認可。
■ 解決方案
要確保輸入值確實是整數,正確的辦法是將Type屬性指定為Integer:
<!– 要求輸入值必須是1-9之間的數字 –>
<asp:RangeValidator … MinimumValue=”1″
MaximumValue=”9″ Type=”Integer”
2.3 資訊洩漏
◎ 讓隱藏域更加安全
在ASP.NET應用中,幾乎所有HTML頁面的__VIEWSTATE隱藏域中都可以找到有關應用的資訊。由於__VIEWSTATE是BASE 64編碼的,所以常常被忽略,但黑客可以方便地解碼BASE 64資料,用不著花什麼力氣就可以得到__VIEWSTATE提供的詳細資料。
■ 風險分析
預設情況下,__VIEWSTATE資料將包含:
⑴ 來自頁面控制元件的動態資料。
⑵ 開發者在ViewState中顯式儲存的資料。
⑶ 上述資料的密碼簽字。
■ 解決方案
設定EnableViewStatMAC=”true”,啟用__VIEWSTATE資料加密功能。然後,將machineKey驗證型別設定成3DES,要求ASP.NET用Triple DES對稱加密演算法加密ViewState資料。
2.4 SQL隱碼攻擊式攻擊
◎ 使用SQL引數API
正如前文“篡改引數”部分描述的,攻擊者可以在輸入域中插入特殊字元,改變SQL查詢的本意,欺騙資料庫伺服器執行惡意的查詢。
■ 風險分析
惡意查詢有可能獲取後端資料庫儲存的任何資訊,例如客戶信用卡號碼的清單。
■ 解決方案
除了前面介紹的辦法—-用程式程式碼確保輸入內容只包含有效字元,另一種更加健壯的辦法是使用SQL引數API(例如ADO.NET提供的API),讓程式設計環境的底層API(而不是程式設計師)來構造查詢。
使用這些API時,開發者或者提供一個查詢模板,或者提供一個儲存過程,然後指定一系列的引數值,由底層API將引數值嵌入到查詢模板,然後將構造出來的查詢提交給伺服器查詢。這種辦法的好處是確保引數能夠正確地嵌入,例如,系統將對引號進行轉義處理,從根本上杜絕SQL隱碼攻擊式攻擊的發生。同時,在表單中引號仍是一個允許輸入的有效字元,這也是使用底層API的一個優點。
按照這種思路修改前文“篡改引數”部分的例子,結果如下:
SqlDataAdapter my_query = new SqlDataAdapter(“SELECT * FROM accounts
WHERE acc_user= @user AND “, the_connection);
SqlParameter userParam = my_query.Select_Command.Parameters.Add(
“@user”,SqlDb.VarChar,20);
userParam.Value=user;
SqlParameter passwordParam = my_query.Select_Command.Parameters.Add(
“@”,SqlDb.VarChar,20);
passwordParam.Value=password;
2.5 跨站指令碼執行
◎ 對外發的資料進行編碼
跨站指令碼執行(Cross-site scripting)是指將惡意的使用者輸入嵌入到應答(HTML)頁面。例如,下面的ASP.NET頁面雖然簡單,卻包含著一個重大的安全缺陷:
<%@ Page Language=”vb” %>
<asp:Label id=”Label1″ runat=”server”>
標籤文字
</asp:Label>
<form method=”post” runat=”server” ID=”Form1″>
請在此處輸入反饋資訊<br>
<asp:Textbox ID=”feedback” runat=”server”/><br>
<asp:Button id=”cmdSubmit” runat=”server”
Text=”提交!” OnClick=”do_feedback”>
</asp:Button>
</form>
<script runat=”server”>
Sub do_feedback(sender As Object, e As System.EventArgs)
Label1.Text=feedback.Text
End Sub
</script>
■ 風險分析
攻擊者可以用JavaScript程式碼構造一個惡意的查詢,點選連結時JavaScript就會執行。舉例來說,指令碼可以通過下面的使用者輸入來嵌入:
<script>alert(document.cookie)
</script>
■ 解決方案
在一個雙層的安全體系中,對HTML頁面中出現的外發使用者資料執行輸入驗證和HTML編碼,確保瀏覽器只把使用者輸入資料當成純粹的文字,而不是其他具有特殊含義的內容,例如HTML程式碼、JavaScript指令碼。
對於本例,只要加入一個HtmlEncode呼叫即可:
Label1.Text=Server.HtmlEncode(feedback.Text)
這樣,應答HTML流將包含使用者輸入內容的HTML編碼版本,也就是說,瀏覽器不會執行使用者輸入的JavaScript程式碼,因為根本不存在HTML的“<SCRIPT>”標記,使用者輸入的“<”和“>”字元已經被替換成HTML編碼版本,即“<”和“>”。
三、使用自動安全測試工具
由於客戶需求不斷變化,一些單位平均每三個月就要部署新的應用,同時由於人員流動,所以對開發者快速開發健壯的、高質量的程式碼寄予很高的期望。雖然對所有開發者進行程式碼安全技術的培訓是十分必要的,但不可否認,自動檢測程式碼安全漏洞的工具也有助於快速開發安全的應用程式。
到目前為止,開發者常用的工具只能涵蓋功能測試的特定方面,例如效能測試,BUG/故障點偵查。人工檢查程式碼有著許多與生俱來的侷限,而且要求開發者具有豐富的程式碼安全經驗,所以對於編寫高質量的應用來說,面向應用程式安全及其在惡意環境下行為的工具也是十分關鍵的。
要迅速提高應用的質量和安全性,最有效的辦法是給開發者提供一個自動測試應用的工具。如果在單元測試期間,工具能夠檢測出應用的安全缺陷,並將修補建議嵌入到程式碼之中,開發者就能立即找出程式碼中存在的錯誤,不僅方便了現有錯誤的修改,而且也有助於避免將來再犯同樣的錯誤,不斷地提高程式碼抗禦攻擊的能力。
結束語:Web服務應用正在爆炸式增長,越來越多的應用被推出到防火牆之外,安全性脆弱的Web應用面臨的風險也只會有增無減。同時,為了在緊迫的時限之前快速完成應用開發,開發者面臨的壓力也越來越大。注重編寫程式碼時的安全問題,同時投入必要的資源,這樣才能為未來的Web服務應用做好準備,同時確保當前應用的高質量。只有從應用的出生之日開始就採取正確的措施來確保其安全性,才能構造出高質量、安全的應用。
本文轉自 netcorner 部落格園部落格,原文連結:http://www.cnblogs.com/netcorner/archive/2007/05/21/2912376.html ,如需轉載請自行聯絡原作者