第六個,SQL的權限。我也是程序員出身,比如說我在開發程序的時候,我肯定愿意數據庫的權限用的連接詞的權限越大越好,這樣我只需要調整源代碼,不需要調用權限,你要把你讓他干什么活兒給他這個權限,不能給他更高的權限。
最后定期檢查網站的安全漏洞,對你的網站進行一個修復。
第二類——跨站腳本。也是一種注入,只不過注入的語句從客戶端發出到服務器,然后服務器沒進行過濾,又把它的提交過來的參數又返回給客戶端,客戶端本身注入這些是什么呢?是JAVA的標準語言或者是標記,這樣就產生是標記語言,而不是數據語言,這就是跨站。跨站曾經在OWASP2010是排在第一位的。
跨站我們應該怎么防護呢?首先跟注入是一樣的,不要相信用戶的輸入,然后把用戶的輸入全部過濾掉。盡量在HTML代碼中不要插入不可信的一些內容。對于需要插入的內容首先在進來的時候要檢查,在輸出的時候從服務器返回客戶端的時候,要對它進行一個HTML編碼,然后給他以后,他到客戶端以后,就成了一個數據,就不會是標記。
表單繞過,說白了實際上是一種特殊形式的SQL注入。就是說原本這個地方是登陸的一個表單,輸入用戶名和密碼,而且要輸入正確的用戶名和密碼才能登陸進去。但是由于這個地方存在著漏洞,作為攻擊者他就可以繞過這個限制,比如說我們看這邊有一個模型。這種方式在過去一兩年很多黑客愿意用這個。
針對表單繞過的防護措施,實際上跟前面所說的SQL注入的防護措施是類似的。這樣用防護措施基本防護住了表單繞過。接下來是后臺管理。后臺管理本身這個后臺很多情況下是對CMS的系統來講,作為管理員登陸這個后臺,發布一些新聞,這個時候這個后臺管理如果說被攻擊分子找到的話,他可能通過外來密碼,或者說通過社會工程學登陸這個管理后臺。這個管理后臺還有一種就是危險比較大的,比如說我們這個地方是一個TOMCAT的一個管理后臺,這個時候會讓你輸入用戶名和密碼,很多以前的只有時候TOMCAT就默認了,進了這個TOMCAT也有這個管理后臺,這個時候可以把整個原本發布的程序可以自己發布新的應用。這個相當于是中間件的管理后臺。
對于應用程序的管理后臺,比如說我這個地方有一個JEECMS,一般一個管理后臺如果說他可以直接進去,這些他里面會有一些資源,或者是模板,特就可以直接上傳Wed SCL,就可以控制這個服務器。
對于后臺的管理,你肯定要做印證,就是權限的策略的一個印證,再有就是把你管理后臺不要放在公網上,就不要放在公網上,因為新聞的發布都是在內網里面做到的。這些管理后臺不要總是用一些讓人一下子能猜到的,你可以起一個比較復雜的名字,也不要上面有連接,讓他不容易找到,雖然他也可能用一些字典,或者通過谷歌(微博)去查,但是總歸這樣你能加大他攻擊的難度。
敏感信息泄露的防范
敏感信息泄露,大大小小的網站這種情況都有。因為敏感信息泄露本身就是很廣泛的范疇,這里面嚴重一點的比如說你把他參數沒有按照他預先的定義輸出了,他程序報錯了,前臺上面會顯出程序報錯了,有的時候數據庫報錯了ORA多少等等,這些都屬于信息泄露。對于這種信息泄露,我們首先就是說一個要把這些錯誤信息統一定位到錯誤頁面里去,直接告訴他你出錯了,不要告訴他詳細的信息,比如說你原來第八個調試信息,在你的產品上線了以后,你第八個信息就要關掉,不要再打開,不要讓所有天下人都做你的TESTER。
再就是編輯器上傳,這種編輯器本身就集成了好多功能,而且有的時候開發起來時間比較快,也比較容易上手。對于編輯器上傳一個就是說盡量你要用最新的一些版本,然后對于一些不能給上傳首先要驗證他的后綴,實際上現在驗證后綴也容易被繞過。這一塊最好驗證他整個的流程。
然后就是弱口令,就是弱密碼,這一塊我就不說了,剛才前面一位嘉賓已經說了,實際上弱密碼大家已經看到了,都很傻,想象不出來,干嗎用六個1,六個8,123,123,這一塊沒什么好說的,因為對于你程序員來講,你怎么弄,你只能對他的密碼進行強制性驗證,你判斷他這個密碼里面沒有符合你的密碼策略,就不允許他使用。
接下來講一下安全的一個防護。這一塊本身今天并不是一個針對于所有程序員Web安全的一個培訓,所以我講的比較粗一點,比較反的Web應用安全防護。
Web應用安全防護有三個方面,就是事前、事中、事后。對于Web應用防護來講,事前你的程序還沒有發布的,在準備之前,在測試階段就進行安全測試,無論你是通過專業的源代碼檢查工具也好,還是通過人工的也好,這樣發現它一些安全上面的一些弱點、漏洞,這樣就使你的程序本身就是按照性比較高的一個程序在發布出去。這個時候對于使用單位來講,肯定他的后面維護所造成的一些成本就要低了很多,但目前據我所知,就是整個外面真正做到這一點的,少之又少。包括現在有一些銀行在努力想做到這一點,但是也并不是所有的銀行都做到了這一點。更多的都是,因為中國有的時候領導一開始沒有安全漏洞,沒有什么,他都不重視,非要等到黑客攻擊他一下,他感覺到威脅了,說要趕緊做安全,但是實際上應用已經在線上使用了,這個時候有會去修補。今天修了那個洞,明天就有那個洞,那個洞修完了還有無窮的洞,這就是事前。事前還包括我們程序員自己把這個代碼編寫的更安全,我也做過開發,我也知道上過很多單位一進門就是小黑板,小黑板就是3月1號什么項目必須上線,3月15號什么東西,程序員壓力都很大,我怎么樣想把這個老板交給我的時間之內功能能滿足就不錯了,我什么時候考慮安全啊?但是為了對自己的產品負責的話,還是在可能的情況下,更多的去考慮安全。實際上有的時候往往就是一個舉手之勞的東西。
比如說像OWASP有一個ESAIP函數,這個就是一個JAVA的包,你在寫每一個程序代碼的時候,只需要聲明引用上去就很簡單,也不會花你很多時間,這是事前。
事中就是這個應用已經上線了,上線了以后已經在線上正常運營了,在整個正常運營過程中,首先你要有安全的一個運維的一些制度,你的整個流程,然后你的訪問控制,然后你的整個應用程序這一塊你要經常性去自己做一些檢測,日常的常規檢測,甚至可以請專業的安全公司給你做安全測試、滲透測試,這一塊你要努力把安全的風險每一天都在減少。因為安全永遠是一個動態的,并不是一個靜態的。就像去年曾經有一個SQL 2的安全出現了問題,作為一個正常的單位必須要經常做一個正常的檢查,就像給自己做一個體檢一樣,這樣只有自己的毛病在什么地方,針對性吃一些藥。
推薦閱讀
以后西鄉人體驗或者購買ThL手機再也不用跑去華強北那么遠了!2月中,ThL西鄉體驗店正式落戶在西鄉街道富成路,屆時深圳市民又多了一個購機地點選擇。據了解,西鄉擁有非常好的手機消費氛圍,ThL希望借助西鄉布局深圳>>>詳細閱讀
本文標題:安恒劉志樂:“泄密門”帶給我們的警示
地址:http://www.sdlzkt.com/a/kandian/20120305/36966.html
網友點評
精彩導讀
科技快報
品牌展示