WEB应用安全设计思想 续

安全 应用安全
网络攻击是千变万化的,我们同时提供了相应的防御方案。到底什么特性使得攻击者的成本升高了,风险降低了。这中间是否有什么共同的东西呢?安全的本质究竟是什么呢?

安全问题的讨论中,我们已经向大家介绍了访问控制的安全设计核心和信任关系的划分问题,本文将继续向大家介绍。

数据与代码分离的思想是安全设计的原则

最典型的体现数据与代码分离思想的是模板系统。

比如velocity,在渲染html的时候,程序员可以写vm模板,一些静态写死的内容就是代码,而通过变量,经过渲染才最终展现的内容则称之为数据。一个典型的例子如下:

  1. -code--------------------------------------------

    test
    -------------------------------------------------

代码与数据如果没有分离,就会导致代码混乱,数据变成代码的一部分去执行。比较常见的例子就是PHP里的SQL写法:

 

  1. -code----------------------------------------------------
  2. $sql = "SELECT * FROM article WHERE articleid='".$_GET[id]."'";  
  3. ---------------------------------------------------------  

 

如果参数 id 中带有单引号,就会闭合掉代码中的单引号,从而导致数据变成代码执行。
所以这个注射的本质问题还是没有做好数据与代码的分离。

比较好的做法是如下java代码中的使用变量绑定,很好的做到了代码与数据分离

  1. -code----------------------------------------------------  
  2.  
  3. String sql="Insert into table VALUES(?,?)";  
  4. List values = new ArrayList();  
  5. values.add(Integer.toString(id));  
  6. values.add(operator);  
  7. try{  
  8. executeStatement(sql, values);  
  9. result=true;  
  10. }catch(Exception e){  
  11. e.printStackTrace();  
  12. }  
  13. ---------------------------------------------------------  
  14.  

 

但是并不是说使用了模板系统就一定分离了数据与代码。

因为在类似“render”或者是“transform”的过程中,往往存在一个将数据进行规范化的过程。这个过程也可能出现问题,从而导致代码可以混淆数据进行执行。

比较好的做法是,数据中不能包含有在代码中存在语义的字符。

参考如下例子:

  1. -code----------------------------------------------------  
  2. Set-Cookie: name=id\r\nP3P: xxxxxxxxxxxxxx\r\n  
  3. --------------------------------------------------------- 

 

红字部分是用户的输入。

在HTTP的标准中,冒号“:”,等号“=”,换行符CRLF“\r\n”,百分号“%”等字符都是有具体的语义的,属于代码部分。所以正常的用户数据中不应该包含有这些字符。

如果出于需求一定要包含怎么办?按照标准将这些字符全部encode。

在HTTP标准中可以使用urlencode,比如等号就变成了“%3d”。

这样就做到了代码与数据的分离。

代码与数据分离原则的本质还是体现了安全问题是信任问题这一思想。

代码是否应该信任数据,或者说代码应该信任怎样的数据,是这个原则的本质。

在应用中,比较好的例子是json、XSLT,这些方法都比较好的做到了数据与代码分离,所以在开发中多使用这些比较好的方法,无形中就提高了安全性。

最佳实践一:Secure By Default

经常可以看到一些权威文档上推荐使用“default denied”,这就是“Secure By Default”
的一种体现。

“Secure By Default”可以说是一个最佳实践。在很多时候,这个思想应该上升到战略的高度。只有真正做到“Secure By Default”,才能保证网站的安全。

因为随着时间的推移和系统的发展、膨胀,会变得越来越臃肿。一个大系统发展到后期,基本上没有一个人能了解系统的全部,而变化却每天都在发生。所以,在这种情况下,只有使用“Secure By Default”的思想来制定安全方案。

白名单往往是实现“Secure By Default”的方法。与黑名单不同,白名单的思想很好的体现了“default denied”。下面以XSS的防御问题举例。

对于一些HTML的标签和事件,黑名单的做法是列出危险的标签和事件,然后禁止他们。

WEB安全的设计思想就像大家介绍完了,希望大家已经掌握了。

【编辑推荐】

  1. Web云安全技术应用
  2. WEB应用安全设计思想
  3. Web安全网关采购指南 注重性能

 

责任编辑:佚名 来源: 服安资讯
相关推荐

2011-03-11 17:07:16

2009-07-19 10:32:44

2012-03-20 10:28:43

2011-03-25 11:39:29

2011-03-11 16:43:51

2011-07-26 15:30:32

jQuery

2010-08-10 10:10:28

系统架构

2012-12-18 17:11:58

2011-08-02 11:08:54

2014-02-28 09:49:11

2013-10-10 14:11:30

2012-10-26 11:37:12

2009-07-29 17:19:14

2011-02-15 11:46:41

2014-10-27 09:51:19

Web设计HTML

2013-03-28 13:08:15

Web缓存

2010-05-05 17:45:12

IBM Unix

2010-09-15 12:15:23

NessusWEB应用安全扫描

2010-07-12 14:15:56

2013-09-26 10:19:34

点赞
收藏

51CTO技术栈公众号