信息安全开发注意事项(四)
2013-12-22 09:11
204 查看
会话管理设计漏洞
隐患:由于应用程序设计不当,攻击者窃取到密码、密钥、session tokens等信息
风险:攻击者可以利用会话管理漏洞窃取到密码、会话令牌等信息,进而冒充合法用户身份,获取敏感信息或者进行恶意操作。
http://example/<script> document.cookie=”sessionid=1234;%20domian=.example.dom”;</script>
http://example/<meta%20htp-equiv=Set-Cookie%20content=”sessionid=1234;%20domian=.example.dom”>
措施1 用户成功认证登录后,始终生成新的会话
request.getSession().invalidate(); //清空session
Cookie cookie = request.getCookies()[0];//获取cookie
cookie.setMaxAge(0);//让cookie过期
措施2 对于Cookie重要信息加密
Cookie cookie = new Cookie(“emailCookie”,email);
cookie.setSecure(true);
response.addCookie(cookie);
不安全的直接对象引用漏洞
隐患:应用程序没有检查用户是否具备访问系统的资源,就直接进行调用
风险:攻击者利用该漏洞可以访问未经授权的其他用户的资料,系统文件等信息。
恶意代码示例:
一网站的新闻检索功能可搜索指定日期的新闻,但其返回的URL包含了指定日期新闻页面的文件名
http://example.com/online/getnews.asp?item=20March2003.html
攻击者可以尝试不同的目录层次来获得系统文件win.ini:
http://example.com/online/getnews.asp?item=.../.../winnt/win.ini
措施1 使用间接对象引用。避免在URL或网页中直接引用内部文件名或数据库关键字,应使用自定义的映射名称来取代直接对象名,防止将重要内容的关键字和文件名泄露给用户。
http://example.com/down.jsp?filed=234
int filed =Integer.parseInt(request.getParameter(“filed”));
String filename = null;
if(filed ==234){
filename = “example.txt”;
}
措施2 检查用户访问权限。来自不受信源所使用的所有直接对象引用都必须包含访问控制检测,才能确保用户对要求的对象有访问权限。
int cartID = Integer.parseInt(request.getParameter(“cartID”));
User user = (User)request.getSession().getAttribute(“user”);
String query = “ select * from table WHERE cartID =’”+ cartID +”’AND userID=’”+user.getID() + “’”;
安全配置漏洞
由于操作系统、应用服务器、数据库服务器、应用程序、中间件以及相关相关应用程序所使用的框架的不安全配置,造成恶意用户可以利用系统默认账户、默认配置页面(如已发现的操作系统、Web服务器、数据库服务器、中间件漏洞的默认配置页面),对应用系统进行攻击。
风险:
攻击者利用该漏洞可以获取系统敏感信息,如程序路径、配置信息等,或者通过默认账户登录系统,获取系统机密信息,甚至操作整个服务器。
措施1
自定义出错页面,统一错误页面提示。
措施2
避免使用默认路径;修改默认账户和密码;禁用预设账户。
措施3
定期进行安全加固,及时安装补丁。
隐患:由于应用程序设计不当,攻击者窃取到密码、密钥、session tokens等信息
风险:攻击者可以利用会话管理漏洞窃取到密码、会话令牌等信息,进而冒充合法用户身份,获取敏感信息或者进行恶意操作。
http://example/<script> document.cookie=”sessionid=1234;%20domian=.example.dom”;</script>
http://example/<meta%20htp-equiv=Set-Cookie%20content=”sessionid=1234;%20domian=.example.dom”>
措施1 用户成功认证登录后,始终生成新的会话
request.getSession().invalidate(); //清空session
Cookie cookie = request.getCookies()[0];//获取cookie
cookie.setMaxAge(0);//让cookie过期
措施2 对于Cookie重要信息加密
Cookie cookie = new Cookie(“emailCookie”,email);
cookie.setSecure(true);
response.addCookie(cookie);
不安全的直接对象引用漏洞
隐患:应用程序没有检查用户是否具备访问系统的资源,就直接进行调用
风险:攻击者利用该漏洞可以访问未经授权的其他用户的资料,系统文件等信息。
恶意代码示例:
一网站的新闻检索功能可搜索指定日期的新闻,但其返回的URL包含了指定日期新闻页面的文件名
http://example.com/online/getnews.asp?item=20March2003.html
攻击者可以尝试不同的目录层次来获得系统文件win.ini:
http://example.com/online/getnews.asp?item=.../.../winnt/win.ini
措施1 使用间接对象引用。避免在URL或网页中直接引用内部文件名或数据库关键字,应使用自定义的映射名称来取代直接对象名,防止将重要内容的关键字和文件名泄露给用户。
http://example.com/down.jsp?filed=234
int filed =Integer.parseInt(request.getParameter(“filed”));
String filename = null;
if(filed ==234){
filename = “example.txt”;
}
措施2 检查用户访问权限。来自不受信源所使用的所有直接对象引用都必须包含访问控制检测,才能确保用户对要求的对象有访问权限。
int cartID = Integer.parseInt(request.getParameter(“cartID”));
User user = (User)request.getSession().getAttribute(“user”);
String query = “ select * from table WHERE cartID =’”+ cartID +”’AND userID=’”+user.getID() + “’”;
安全配置漏洞
由于操作系统、应用服务器、数据库服务器、应用程序、中间件以及相关相关应用程序所使用的框架的不安全配置,造成恶意用户可以利用系统默认账户、默认配置页面(如已发现的操作系统、Web服务器、数据库服务器、中间件漏洞的默认配置页面),对应用系统进行攻击。
风险:
攻击者利用该漏洞可以获取系统敏感信息,如程序路径、配置信息等,或者通过默认账户登录系统,获取系统机密信息,甚至操作整个服务器。
措施1
自定义出错页面,统一错误页面提示。
措施2
避免使用默认路径;修改默认账户和密码;禁用预设账户。
措施3
定期进行安全加固,及时安装补丁。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Linux学习笔记 ——准备
- 1523:从上往下打印二叉树 @jobdu
- 双核CPU,跑程序会报rcu_sched_state detected stalls on CPUs/tasks 错误
- ngx_epoll详解
- 01_三位数@xfile
- yum服务器设置
- SNMP--Windows API--SnmpUtilOidCmp
- 你是否也有NIH综合症
- Mat::create
- 【转】如何在Mac上撰寫C++程式
- poj 1125
- Http协议详解
- RHEL6系统rpm方式安装MySQL数据库
- 二维码相关知识点
- mysql常用的函数
- 你这个机智的家伙
- HOG特征
- 长这么大,还是第一次有人这么夸我
- 恒大竟然被绝杀了
- HQL: Hibernate查询语言