五個常見的Web應用漏洞及其解決方法

開放Web應用安全項目(OWASP)很快會發布今年的10大Web應用安全漏洞清單。這個清單與去年並無太大差異，這代表負責應用設計與開發的人仍然沒能解決之前那些顯而易見的錯誤。許多最多見的Web應用漏洞仍然普遍存在，許多惡意軟件搜索和攻擊這些漏洞，連黑客新手都能輕鬆作到。

本文介紹了5個最多見的Web應用漏洞，以及企業該如何修復初級問題，對抗那些針對這些漏洞的攻擊。

注入攻擊和跨站腳本攻擊

Web應用主要有2種最多見的嚴重缺陷。首先是各類形式的注入攻擊，其中包括SQL、操做系統、電子郵件和LDAP注入，它們的攻擊方式都是在發給應用的命令或查詢中夾帶惡意數據。別有用心的數據可讓應用執行一些惡意命令或訪問未受權數據。若是網站使用用戶數據生成SQL查詢，而不檢查用戶數據的合法性，那麼攻擊者就可能執行SQL注入。這樣攻擊者就能夠直接向數據庫提交惡意SQL查詢和傳輸命令。舉例來講，索尼的PlayStation數據庫就曾經遭遇過SQL注入攻擊，並植入未受權代碼。

跨站腳本(XSS)攻擊會將客戶端腳本代碼(如JavaScript)注入到Web應用的輸出中，從而攻擊應用的用戶。只要訪問受攻擊的輸出或頁面，瀏覽器就會執行代碼，讓攻擊者劫持用戶會話，將用戶重定向到一個惡意站點或者破壞網頁顯示效果。XSS攻擊極可能出如今動態生成的頁面內容中，一般應用會接受用戶提供的數據而沒有正確驗證或轉碼。

爲了防護注入攻擊和XSS攻擊，應用程序應該配置爲假定全部數據——不管是來自表單、URL、Cookie或應用的數據庫，都是不可信來源。要檢查全部處理用戶提供數據的代碼，保證它是有效的。驗證函數須要清理全部可能有惡意做用的字符或字符串，而後再將它傳給腳本和數據庫。要檢查輸入數據的類型、長度、格式和範圍。開發者應該使用現有的安全控制庫，如OWASP的企業安全API或微軟的反跨站腳本攻擊庫，而不要自行編寫驗證代碼。此外，必定要檢查全部從客戶端接受的值，進行過濾和編碼，而後再傳回給用戶。

身份驗證和會話管理被攻破

Web應用程序必須處理用戶驗證，並創建會話跟蹤每個用戶請求，由於HTTP自己不具有這個功能。除非任什麼時候候全部的身份驗證信息和會話身份標識都進行加密，保證不受其餘缺陷(如XSS)的攻擊，不然攻擊者就有可能劫持一個激活的會話，假裝成某個用戶的身份。若是一個攻擊者發現某個原始用戶未註銷的會話(路過攻擊)，那麼全部賬號管理功能和事務都必須從新驗證，即便用戶有一個有效的會話ID。此外，在重要的事務中還應該考慮使用雙因子身份驗證。

爲了發現身份驗證和會話管理問題，企業要以執行代碼檢查和滲透測試。開發者可使用自動化代碼和漏洞掃描程序，發現潛在的安全問題。有一些地方一般須要特別注意，其中包括會話身份標識的處理方式和用戶修改用戶身份信息的方法。若是沒有預算購買商業版本，那麼也可使用許多開源和簡化版本軟件，它們能夠發現一些須要更仔細檢查的代碼或進程。

不安全的直接對象引用

這是應用設計不當引發的另外一個缺陷，它的根源是錯誤地假定用戶老是會遵循應用程序的規則。例如，若是用戶的賬號ID顯示在頁面的URL或隱藏域中，惡意用戶可能會猜想其餘用戶的ID，而後再次提交請求訪問他們的數據，特別是當ID值是能夠猜想的時候。防止這種漏洞的最佳方法是使用隨機、不可猜想的ID、文件名和對象名，並且不要暴露對象的真實名稱。常見的錯誤暴露數據的位置是URL和超連接、隱藏表單域、ASP.NET的未保護視圖狀態、直接列表框、JavaScript代碼和客戶端對象(如Java Applet)。每次訪問敏感文件或內容時，都要驗證訪問數據的用戶已得到受權。

安全性配置不當

支持Web應用程序的基礎架構包含各類各樣的設備和軟件——服務器、防火牆、數據庫、操做系統和應用軟件。全部這些元素都必須正確配置和保證安全，應用程序只是運行在最低權限配置上，可是許多系統自己還不夠安全。系統管理不當的一個主要緣由是Web應用程序管理人員和基礎架構支持人員從未接受過必要的培訓。

爲執行平常網絡應用管理的人員提供足夠的培訓和資源，這是在開發過程當中全部階段保證安全性和保密性的重要條件。最後，要爲Web應用程序安排一個滲透測試，處理全部敏感數據。這是一種主動評估應用抵抗攻擊能力的方法，能夠在受到攻擊前發現系統漏洞。

結束語

一直以來，這5種常見的Web應用漏洞都是IT安全的痛處。它們並非新漏洞，可是它們都沒有解決，在人們對Web應用安全有足夠認識以前，攻擊者仍然會想盡辦法繼續利用這些缺陷發起偷盜、欺騙和網絡間諜等攻擊。