WEB开发安全漏洞修复方案

1密级：保密WEB开发安全漏洞修复方案（V1.0）文档编号：文档名称：WEB开发安全漏洞修复方案编写：审核：批准：批准日期：技术研究部安全规范2文档修订记录编号版本号修订内容简述修订日期作者审核1V1.0初稿2012-7678910111213141516安全规范3（V1.0）...........................................................................................................................................11.1背景.............................................................................................................................11.2FSDP安全漏洞清单......................................................................................................11.3安全漏洞修复方案.........................................................................................................11.3.1会话标识未更新.................................................................................................11.3.2登录错误消息凭证枚举.....................................................................................21.3.3不充分帐户封锁.................................................................................................21.3.4跨站点脚本编制.................................................................................................31.3.5已解密的登录请求.............................................................................................61.3.6跨站点脚本编制..............................................................................................101.3.7通过框架钓鱼..................................................................................................141.3.8链接注入（便于跨站请求伪造）..................................................................191.3.9应用程序错误..................................................................................................261.3.10SQL注入........................................................................................................301.3.11发现数据库错误模式...................................................................................401.3.12启用了不安全的HTTP方法........................................................................491.3.13发现电子邮件地址模式...............................................................................511.3.14HTML注释敏感信息泄露..............................................................................521.3.15发现内部IP泄露模式.................................................................................531.3.16主机允许从任何域进行flash访问.........................................................541.3.17主机应用软件漏洞修复...............................................................................541.3.18目录列表.......................................................................................................551.3.19跨站点请求伪造...........................................................................................561.1需要注意的问题...........................................................................................................5711.1背景随着移动公司对信息安全的进一步加强，要求我们部署的系统必须满足安全扫描要求。本文档描述了安徽移动对FSDP安全扫描的漏洞的解决方案，并作为WEB开发的安全编程规范。1.2FSDP安全漏洞清单见《WEB开发安全漏洞清单.xlsx》1.3安全漏洞修复方案1.3.1会话标识未更新(一)URL(二)安全问题描述根据WASC：“会话固定”是一种攻击技术，会强制用户的会话标识变成显式值。固定会话标识值的技术有许多种，会随着目标Web站点的功能而不同。从利用“跨站点脚本编制”到向Web站点密集发出先前生成的HTTP请求，都在这些技术范围内。用户的会话标识固定之后，攻击者会等待用户登录，然后利用预定义的会话标识值来假定用户的联机身份。(三)攻击方法登录过程前后会话标识的比较，显示它们并未更新，这表示有可能伪装用户。初步得知会话标识值后，远程攻击者有可能得以充当已登录的合法用户。任何时候，只要一名用户与应用程序的交互状态由匿名转变为确认，应用程序就应该发布一个新的会话令牌。这不仅适用于用户成功登录的情况，而且适用于匿名用户首次提交个人或其他敏感信息时。(四)安全规范要求COOKIE中的登陆前JSESSIONID与登陆后JESSIONID不能相同。（只有J2EE应用服务器为JESSIONID,其他应用服务器可能不同）(五)解决方案将如下代码加入到登陆页面（login.jsp）的最后行：%request.getSession().invalidate();//清空sessionCookiecookie=request.getCookies()[0];//获取cookiecookie.setMaxAge(0);//让cookie过期安全规范2%1.3.2登录错误消息凭证枚举(一)URL(二)安全问题描述当试图利用不正确的凭证来登录时，当用户输入无效的用户名和无效的密码时，应用程序会分别生成不同的错误消息。通过利用该行为，攻击者可以通过反复试验（蛮力攻击技术）来发现应用程序的有效用户名，再继续尝试发现相关联的密码。这样会得到有效用户名和密码的枚举，攻击者可以用来访问帐户。(三)攻击方法修改的HTTP报文头：将参数“optrid”的值设置为“test123WithSomeChars”，除去cookie“JSESSIONID”，除去HTTP头“Cookie=JSESSIONID”。(四)安全规范要求对每个错误的登录尝试发出相同的错误消息，不管是哪个字段发生错误，特别是用户名或密码字段错误。(五)解决方案LoginImpl.java类中getLoginInfo方法，涉及到登录错误提示的都改成：“您输入的用户名或密码不正确！”。登录超过3次数的改成：“您尝试登陆失败超过+Constans.LOGIN_ERROR_TIMES+次，请30分钟后再登陆!”。1.3.3不充分帐户封锁(一)URL(一)安全问题描述发送了两次合法的登录尝试，并且在其间发送了几次错误的登录尝试。最后一个响应与第一个响应相同。这表明存在未充分实施帐户封锁的情况，从而使登录页面可能受到蛮力攻安全规范3击。（即使第一个响应不是成功的登录页面，也是如此。）(二)攻击方法修改的HTTP报文头：除去cookie“JSESSIONID”，除去HTTP头“Cookie=JSESSIONID”。(三)安全规范要求多次登录尝试失败后实施帐户封锁(四)解决方案LoginImp.java中的getLoginInfo方法，修订如下代码片段：//判断登陆失败次数if(!checkLoginError(logininfo)){ret.setRetCode(0003);ret.setRetDesc(您尝试登陆失败超过+Constans.LOGIN_ERROR_TIMES+次，请+Constans.LOGIN_ERROR_LOCK_SECOND+分钟后再登录!);returnret;}//增加验证登陆错误次数代码addLoginErrorRec(logininfo);1.3.4跨站点脚本编制(一)URL://10.149.113.200/loginAction.do(二)安全问题描述可能会窃取或操纵客户会话和cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。(三)攻击方法Web站点中所包含的脚本直接将用户在HTML页面中的输入（通常是参数值）返回，而不预先加以清理。如果脚本在响应页面中返回由JavaScript代码组成的输入，浏览器便可以执行此输入。因此，有可能形成指向站点的若干链接，且其中一个参数安全规范4包含恶意的JavaScript代码。该代码将在站点上下文中（由用户浏览器）执行，这使得该代码有权访问用户在该站点中具有访问权的cookie，以及站点中其他可通过用户浏览器访问的窗口。攻击依照下列方式继续进行：攻击者诱惑合法用户单击攻击者生成的链接。用户单击该链接时，便会生成