五種常見的ASP.NET安全缺陷

来源:http://www.cnblogs.com/androidshouce/archive/2016/06/21/5602389.html
-Advertisement-
Play Games

保證應用程式的安全應當從編寫第一行代碼的時候開始做起,原因很簡單,隨著應用規模的發展,修補安全漏洞所需的代價也隨之快速增長。根據IBM的系統科學協會(SystemsSciencesInstitute)的研究,如果等到軟體部署之後再來修補缺陷,其代價相當於開發期間檢測和消除缺陷的15倍。 為了用最小的 ...


      保證應用程式的安全應當從編寫第一行代碼的時候開始做起,原因很簡單,隨著應用規模的發展,修補安全漏洞所需的代價也隨之快速增長。根據IBM的系統科學協會(SystemsSciencesInstitute)的研究,如果等到軟體部署之後再來修補缺陷,其代價相當於開發期間檢測和消除缺陷的15倍。

     為了用最小的代價保障應用程式的安全,在代碼本身的安全性、抗禦攻擊的能力等方面,開發者應當擔負更多的責任。然而,要從開發的最初階段保障程式的安全性,必須具有相應的技能和工具,而真正掌握這些技能和工具的開發者並不是很多。雖然學寫安全的代碼是一個複雜的過程,最好在大學、內部培訓會、行業會議上完成,但只要掌握了下麵五種常見的ASP.NET應用安全缺陷以及推薦的修正方案,就能夠領先一步,將不可或缺的安全因素融入到應用的出生之時。

一、不能盲目相信用戶輸入

      在Web應用開發中,開發者最大的失誤往往是無條件地信任用戶輸入,假定用戶(即使是惡意用戶)總是受到瀏覽器的限制,總是通過瀏覽器和伺服器交互,從而打開了攻擊Web應用的大門。實際上,黑客們攻擊和操作Web網站的工具很多,根本不必局限於瀏覽器,從最低級的字元模式的原始界面(例如telnet),到CGI腳本掃描器、Web代理、Web應用掃描器,惡意用戶可能採用的攻擊模式和手段很多。

      因此,只有嚴密地驗證用戶輸入的合法性,才能有效地抵抗黑客的攻擊。應用程式可以用多種方法(甚至是驗證範圍重疊的方法)執行驗證,例如,在認可用戶輸入之前執行驗證,確保用戶輸入只包含合法的字元,而且所有輸入域的內容長度都沒有超過範圍(以防範可能出現的緩衝區溢出攻擊),在此基礎上再執行其他驗證,確保用戶輸入的數據不僅合法,而且合理。必要時不僅可以採取強制性的長度限制策略,而且還可以對輸入內容按照明確定義的特征集執行驗證。下麵幾點建議將幫助你正確驗證用戶輸入數據:

  1.始終對所有的用戶輸入執行驗證,且驗證必須在一個可靠的平臺上進行,應當在應用的多個層上進行。

  2.除了輸入、輸出功能必需的數據之外,不要允許其他任何內容。

  3.設立“信任代碼基地”,允許數據進入信任環境之前執行徹底的驗證。

  4.登錄數據之前先檢查數據類型。

  5.詳盡地定義每一種數據格式,例如緩衝區長度、整數類型等。

  6.嚴格定義合法的用戶請求,拒絕所有其他請求。

  7.測試數據是否滿足合法的條件,而不是測試不合法的條件。這是因為數據不合法的情況很多,難以詳盡列舉。

二、五種常見的ASP.NET安全缺陷

      下麵給出了五個例子,闡述如何按照上述建議增強應用程式的安全性。這些例子示範了代碼中可能出現的缺陷,以及它們帶來的安全風險、如何改寫最少的代碼來有效地降低攻擊風險。

      2.1篡改參數---使用ASP.NET域驗證器     

      盲目信任用戶輸入是保障Web應用安全的第一敵人。用戶輸入的主要來源是HTML表單中提交的參數,如果不能嚴格地驗證這些參數的合法性,就有可能危及伺服器的安全。

      下麵的C#代碼查詢後端SQLServer資料庫,假設user和password變數的值直接取自用戶輸入:

SqlDataAdaptermy_query=newSqlDataAdapter("SELECT*FROM accounts WHER Eacc_user='"+user+"' AND acc_password='"+password+"'",the_connection);

      從錶面上看,這幾行代碼毫無問題,實際上卻可能引來SQL註入式攻擊。攻擊者只要在user輸入域中輸入“OR 1=1”,就可以順利登錄系統,或者只要在查詢之後加上適當的調用,就可以執行任意Shell命令。

      ■風險分析

      在編寫這幾行代碼時,開發者無意之中作出了這樣的假定:用戶的輸入內容只包含“正常的”數據——合乎人們通常習慣的用戶名字、密碼,但不會包含引號之類的特殊字元,這正是SQL註入式攻擊能夠得逞的根本原因。黑客們可以藉助一些具有特殊含義的字元改變查詢的本意,進而調用任意函數或過程。

      ■解決方案

      域驗證器是一種讓ASP.NET開發者對域的值實施限制的機制,例如,限制用戶輸入的域值必須匹配特定的表達式。

      要防止上述攻擊行為得逞,第一種辦法是禁止引號之類的特殊字元輸入,第二種辦法更嚴格,即限定輸入域的內容必須屬於某個合法字元的集合,例如“[a-zA-Z0-9]*”。

      2.2篡改參數之二---避免驗證操作的漏洞 

      然而,僅僅為每個輸入域引入驗證器還不能防範所有通過修改參數實施的攻擊。在執行數值範圍檢查之時,還要指定正確的數據類型。

      也就是說,在使用ASP.NET的範圍檢查控制項時,應當根據輸入域要求的數據類型指定適當的Type屬性,因為Type的預設值是String。     

<!--要求輸入值必須是1-9之間的數字-->
<asp:RangeValidator...MinimumValue="1" MaximumValue="9".../>

      ■風險分析

      由於沒有指定Type屬性值,上面的代碼將假定輸入值的類型是String,因此RangeValidator驗證器只能確保字元串由0-9之間的字元開始,“0abcd”也會被認可。

      ■解決方案

      要確保輸入值確實是整數,正確的辦法是將Type屬性指定為Integer:

<!--要求輸入值必須是1-9之間的數字-->
<asp:RangeValidator...MinimumValue="1" MaximumValue="9" Type="Integer" />

      2.3信息泄漏---讓隱藏域更加安全

      在ASP.NET應用中,幾乎所有HTML頁面的__VIEWSTATE隱藏域中都可以找到有關應用的信息。由於__VIEWSTATE是BASE64編碼的,所以常常被忽略,但黑客可以方便地解碼BASE64數據,用不著花什麼力氣就可以得到__VIEWSTATE提供的詳細資料。

      ■風險分析

      預設情況下,__VIEWSTATE數據將包含:

  1.來自頁面控制項的動態數據。

  2.開發者在ViewState中顯式保存的數據。

  3.上述數據的密碼簽字。

      ■解決方案

      設置EnableViewStatMAC="true",啟用__VIEWSTATE數據加密功能。然後,將machineKey驗證類型設置成3DES(前面講過~),要求ASP.NET用TripleDES對稱加密演算法加密ViewState數據。

      2.4SQL註入式攻擊---使用SQL參數API

      正如前文“篡改參數”部分描述的,攻擊者可以在輸入域中插入特殊字元,改變SQL查詢的本意,欺騙資料庫伺服器執行惡意的查詢。

      ■風險分析

      惡意查詢有可能獲取後端資料庫保存的任何信息,例如客戶信用卡號碼的清單。

      ■解決方案

      除了前面介紹的辦法——用程式代碼確保輸入內容只包含有效字元,另一種更加健壯的辦法是使用SQL參數API(例如ADO.NET提供的API),讓編程環境的底層API(而不是程式員)來構造查詢。

      使用這些API時,開發者或者提供一個查詢模板,或者提供一個存儲過程,然後指定一系列的參數值,由底層API將參數值嵌入到查詢模板,然後將構造出來的查詢提交給伺服器查詢。這種辦法的好處是確保參數能夠正確地嵌入,例如,系統將對引號進行轉義處理,從根本上杜絕SQL註入式攻擊的發生。同時,在表單中引號仍是一個允許輸入的有效字元,這也是使用底層API的一個優點。

      按照這種思路修改前文“篡改參數”部分的例子,結果如下:

SqlDataAdapter my_query = new SqlDataAdapter("SELECT * FROMaccounts  WHER Eacc_user=@user AND acc_password=@pass", the_connection);
SqlParameter userParam = my_query.Select_Command.Parameters.Add("@user", SqlDb.VarChar, 20);
userParam.Value = user;
SqlParameter passwordParam = my_query.Select_Command.Parameters.Add("@pass", SqlDb.VarChar, 20);
passwordParam.Value = password;

      2.5跨站腳本執行---對外發的數據進行編碼

      跨站腳本執行(Cross-sitescripting)是指將惡意的用戶輸入嵌入到應答(HTML)頁面。

      例如,下麵的ASP.NET頁面雖然簡單,卻包含著一個重大的安全缺陷:

複製代碼
<%@PageLanguage="vb"%> 
<asp:Labelid="Label1" runat="server"> 標簽文字 </asp:Label> <form method="post" runat="server" ID="Form1"> 請在此處輸入反饋信息<br>
<asp:TextboxID="feedback" runat="server"/><br> <asp:Buttonid="cmdSubmit" runat="server" Text="提交!" OnClick="do_feedback"> </asp:Button>
</form>
<scriptrunat="server"> Subdo_feedback(senderAsObject,eAsSystem.EventArgs) Label1.Text=feedback.Text EndSub
</script>
複製代碼

      ■風險分析

      攻擊者可以用JavaScript代碼構造一個惡意的查詢,點擊鏈接時JavaScript就會運行。舉例來說,腳本可以通過下麵的用戶輸入來嵌入:

<script>alert(document.cookie) </script>

      ■解決方案

      在一個雙層的安全體系中,對HTML頁面中出現的外發用戶數據執行輸入驗證和HTML編碼,確保瀏覽器只把用戶輸入數據當成純粹的文本,而不是其他具有特殊含義的內容,例如HTML代碼、JavaScript腳本。

      對於本例,只要加入一個HtmlEncode調用即可:

Label1.Text=Server.HtmlEncode(feedback.Text);

      這樣,應答HTML流將包含用戶輸入內容的HTML編碼版本,也就是說,瀏覽器不會執行用戶輸入的JavaScript代碼,因為根本不存在HTML的“<SCRIPT>”標記,用戶輸入的“<”和“>”字元已經被替換成HTML編碼版本,即“<”和“>”。

三、使用自動安全測試工具

      由於客戶需求不斷變化,一些單位平均每三個月就要部署新的應用,同時由於人員流動,所以對開發者快速開發健壯的、高質量的代碼寄予很高的期望。雖然對所有開發者進行代碼安全技術的培訓是十分必要的,但不可否認,自動檢測代碼安全漏洞的工具也有助於快速開發安全的應用程式。

      到目前為止,開發者常用的工具只能涵蓋功能測試的特定方面,例如性能測試,BUG/故障點偵查。人工檢查代碼有著許多與生俱來的局限,而且要求開發者具有豐富的代碼安全經驗,所以對於編寫高質量的應用來說,面嚮應用程式安全及其在惡意環境下行為的工具也是十分關鍵的。

      要迅速提高應用的質量和安全性,最有效的辦法是給開發者提供一個自動測試應用的工具。如果在單元測試期間,工具能夠檢測出應用的安全缺陷,並將修補建議嵌入到代碼之中,開發者就能立即找出代碼中存在的錯誤,不僅方便了現有錯誤的修改,而且也有助於避免將來再犯同樣的錯誤,不斷地提高代碼抗禦攻擊的能力。

結束語:Web服務應用正在爆炸式增長,越來越多的應用被推出到防火牆之外,安全性脆弱的Web應用面臨的風險也只會有增無減。同時,為了在緊迫的時限之前快速完成應用開發,開發者面臨的壓力也越來越大。註重編寫代碼時的安全問題,同時投入必要的資源,這樣才能為未來的Web服務應用做好準備,同時確保當前應用的高質量。只有從應用的出生之日開始就採取正確的措施來確保其安全性,才能構造出高質量、安全的應用。 


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 1. 引言 在實際的項目中,樹還是用的比較多的一種,尤其是對於具有層次結構的數據。相信很多人都學過樹的遍歷,比如先序遍歷,後序遍歷等,利用遞歸還是很容易理解的。 今天給大家介紹下二叉樹的幾種遍歷演算法,包括遞歸和非遞歸的實現。 首先建立一棵二叉樹 如: 一棵簡單的二叉樹 2. 先序遍歷 先序遍歷還是很 ...
  • 1、自動屬性,就是一個屬性的簡寫方式,不過後臺編譯時會自動的將屬性的代碼補全 2、可變類型 Var: 其實不是真的可變,而是對於可以推斷出來的強類型對象可以幫我們自動識別。在聲明太複雜的類型是可以使用。或者使用次數不多的情況下 Var編譯時確定類型 Dynamic : 真正的可變類型,在運行階段看你 ...
  • 據說得有楔子 按照慣例,先來幾張樣例圖(註:為了展示視窗陰影效果,截圖範圍向外擴展了些,各位憑想象吧)。 還要來個序 其實,很多年沒寫過Winform了,前端時間在重構我們公司自己的呼叫中心系統,突然就覺得客戶端好醜好醜,對於我這種強迫症晚期患者來說,界面不好看都不知道怎麼寫代碼的,簡直就是種折磨, ...
  • 繼續上篇:EntityFramework和EntityFramework.Extended使用說明——性能,語法和產生的sql 1.監控sql 上篇中的sql監控採用的是 Microsoft SQL Server Management Studio中工具->profiler去監控的.當然,Expre ...
  • 前面Insus.NET實現過《使用ViewModel來實現多個Model傳送至視圖》http://www.cnblogs.com/insus/p/5594134.html 和《使用ExpandoObject來實現多個Model傳送至視圖》http://www.cnblogs.com/insus/p/ ...
  • 1、下載安裝包 Windows6.1-KB963697-x64.msu 2、安裝過程失敗,提示未安裝更新 我是阿裡雲的伺服器,一直出現下麵提示 經過反覆研究,確定系統問題,重新恢復了初始系統,再進行安裝,就成功了。 3、添加媒體服務角色,成功解決。 有時候我們總是把問題想象的複雜,其實非常簡單。 ...
  • 框架最新的升級實現了一個頁面部件功能,其實就是通過後臺方法查詢資料庫內容,把查詢結果的 HTML 代碼呈現到 Razor 視圖中,考慮到靈活性,需要能在任意 Razor 視圖中調用該方法,這樣任意 Razor 頁面都能以統一的方式方便地共用該頁面部件的 HTML 內容,這對於代碼的重用性和可維護性都... ...
  • 一、說明 一般我們定義委托都是有如下兩步: public delegate void MyDelegate(string name);//定義委托 public MyDelegate myDelegate; //使用委托 一、說明 一般我們定義委托都是有如下兩步: public delegate v ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...