您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > WEB开发安全漏洞修复方案
1密级:保密WEB开发安全漏洞修复方案(V1.0)文档编号:文档名称:WEB开发安全漏洞修复方案编写:审核:批准:批准日期:技术研究部安全规范2文档修订记录编号版本号修订内容简述修订日期作者审核1V1.0初稿2012-7678910111213141516安全规范3(V1.0)...........................................................................................................................................11.1背景.............................................................................................................................11.2FSDP安全漏洞清单......................................................................................................11.3安全漏洞修复方案.........................................................................................................11.3.1会话标识未更新.................................................................................................11.3.2登录错误消息凭证枚举.....................................................................................21.3.3不充分帐户封锁.................................................................................................21.3.4跨站点脚本编制.................................................................................................31.3.5已解密的登录请求.............................................................................................61.3.6跨站点脚本编制..............................................................................................101.3.7通过框架钓鱼..................................................................................................141.3.8链接注入(便于跨站请求伪造)..................................................................191.3.9应用程序错误..................................................................................................261.3.10SQL注入........................................................................................................301.3.11发现数据库错误模式...................................................................................401.3.12启用了不安全的HTTP方法........................................................................491.3.13发现电子邮件地址模式...............................................................................511.3.14HTML注释敏感信息泄露..............................................................................521.3.15发现内部IP泄露模式.................................................................................531.3.16主机允许从任何域进行flash访问.........................................................541.3.17主机应用软件漏洞修复...............................................................................541.3.18目录列表.......................................................................................................551.3.19跨站点请求伪造...........................................................................................561.1需要注意的问题...........................................................................................................5711.1背景随着移动公司对信息安全的进一步加强,要求我们部署的系统必须满足安全扫描要求。本文档描述了安徽移动对FSDP安全扫描的漏洞的解决方案,并作为WEB开发的安全编程规范。1.2FSDP安全漏洞清单见《WEB开发安全漏洞清单.xlsx》1.3安全漏洞修复方案1.3.1会话标识未更新(一)URL(二)安全问题描述根据WASC:“会话固定”是一种攻击技术,会强制用户的会话标识变成显式值。固定会话标识值的技术有许多种,会随着目标Web站点的功能而不同。从利用“跨站点脚本编制”到向Web站点密集发出先前生成的HTTP请求,都在这些技术范围内。用户的会话标识固定之后,攻击者会等待用户登录,然后利用预定义的会话标识值来假定用户的联机身份。(三)攻击方法登录过程前后会话标识的比较,显示它们并未更新,这表示有可能伪装用户。初步得知会话标识值后,远程攻击者有可能得以充当已登录的合法用户。任何时候,只要一名用户与应用程序的交互状态由匿名转变为确认,应用程序就应该发布一个新的会话令牌。这不仅适用于用户成功登录的情况,而且适用于匿名用户首次提交个人或其他敏感信息时。(四)安全规范要求COOKIE中的登陆前JSESSIONID与登陆后JESSIONID不能相同。(只有J2EE应用服务器为JESSIONID,其他应用服务器可能不同)(五)解决方案将如下代码加入到登陆页面(login.jsp)的最后行:%request.getSession().invalidate();//清空sessionCookiecookie=request.getCookies()[0];//获取cookiecookie.setMaxAge(0);//让cookie过期安全规范2%1.3.2登录错误消息凭证枚举(一)URL(二)安全问题描述当试图利用不正确的凭证来登录时,当用户输入无效的用户名和无效的密码时,应用程序会分别生成不同的错误消息。通过利用该行为,攻击者可以通过反复试验(蛮力攻击技术)来发现应用程序的有效用户名,再继续尝试发现相关联的密码。这样会得到有效用户名和密码的枚举,攻击者可以用来访问帐户。(三)攻击方法修改的HTTP报文头:将参数“optrid”的值设置为“test123WithSomeChars”,除去cookie“JSESSIONID”,除去HTTP头“Cookie=JSESSIONID”。(四)安全规范要求对每个错误的登录尝试发出相同的错误消息,不管是哪个字段发生错误,特别是用户名或密码字段错误。(五)解决方案LoginImpl.java类中getLoginInfo方法,涉及到登录错误提示的都改成:“您输入的用户名或密码不正确!”。登录超过3次数的改成:“您尝试登陆失败超过+Constans.LOGIN_ERROR_TIMES+次,请30分钟后再登陆!”。1.3.3不充分帐户封锁(一)URL(一)安全问题描述发送了两次合法的登录尝试,并且在其间发送了几次错误的登录尝试。最后一个响应与第一个响应相同。这表明存在未充分实施帐户封锁的情况,从而使登录页面可能受到蛮力攻安全规范3击。(即使第一个响应不是成功的登录页面,也是如此。)(二)攻击方法修改的HTTP报文头:除去cookie“JSESSIONID”,除去HTTP头“Cookie=JSESSIONID”。(三)安全规范要求多次登录尝试失败后实施帐户封锁(四)解决方案LoginImp.java中的getLoginInfo方法,修订如下代码片段://判断登陆失败次数if(!checkLoginError(logininfo)){ret.setRetCode(0003);ret.setRetDesc(您尝试登陆失败超过+Constans.LOGIN_ERROR_TIMES+次,请+Constans.LOGIN_ERROR_LOCK_SECOND+分钟后再登录!);returnret;}//增加验证登陆错误次数代码addLoginErrorRec(logininfo);1.3.4跨站点脚本编制(一)URL://10.149.113.200/loginAction.do(二)安全问题描述可能会窃取或操纵客户会话和cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。(三)攻击方法Web站点中所包含的脚本直接将用户在HTML页面中的输入(通常是参数值)返回,而不预先加以清理。如果脚本在响应页面中返回由JavaScript代码组成的输入,浏览器便可以执行此输入。因此,有可能形成指向站点的若干链接,且其中一个参数安全规范4包含恶意的JavaScript代码。该代码将在站点上下文中(由用户浏览器)执行,这使得该代码有权访问用户在该站点中具有访问权的cookie,以及站点中其他可通过用户浏览器访问的窗口。攻击依照下列方式继续进行:攻击者诱惑合法用户单击攻击者生成的链接。用户单击该链接时,便会生成
本文标题:WEB开发安全漏洞修复方案
链接地址:https://www.777doc.com/doc-5691069 .html