51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

WEB应用安全设计思想 续

作者:佚名
安全 应用安全
网络攻击是千变万化的,我们同时提供了相应的防御方案。到底什么特性使得攻击者的成本升高了,风险降低了。这中间是否有什么共同的东西呢?安全的本质究竟是什么呢?

安全问题的讨论中,我们已经向大家介绍了访问控制的安全设计核心和信任关系的划分问题,本文将继续向大家介绍。

数据与代码分离的思想是安全设计的原则

最典型的体现数据与代码分离思想的是模板系统。

比如velocity,在渲染html的时候,程序员可以写vm模板,一些静态写死的内容就是代码,而通过变量,经过渲染才最终展现的内容则称之为数据。一个典型的例子如下:

  1. -code--------------------------------------------
    test
    -------------------------------------------------

代码与数据如果没有分离,就会导致代码混乱,数据变成代码的一部分去执行。比较常见的例子就是PHP里的SQL写法:

 

  1. -code----------------------------------------------------
  2. $sql = "SELECT * FROM article WHERE articleid='".$_GET[id]."'";  
  3. ---------------------------------------------------------  

 

如果参数 id 中带有单引号,就会闭合掉代码中的单引号,从而导致数据变成代码执行。
所以这个注射的本质问题还是没有做好数据与代码的分离。

比较好的做法是如下java代码中的使用变量绑定,很好的做到了代码与数据分离

  1. -code----------------------------------------------------  
  2.  
  3. String sql="Insert into table VALUES(?,?)";  
  4. List values = new ArrayList();  
  5. values.add(Integer.toString(id));  
  6. values.add(operator);  
  7. try{  
  8. executeStatement(sql, values);  
  9. result=true;  
  10. }catch(Exception e){  
  11. e.printStackTrace();  
  12. }  
  13. ---------------------------------------------------------  
  14.  

 

但是并不是说使用了模板系统就一定分离了数据与代码。

因为在类似“render”或者是“transform”的过程中,往往存在一个将数据进行规范化的过程。这个过程也可能出现问题,从而导致代码可以混淆数据进行执行。

比较好的做法是,数据中不能包含有在代码中存在语义的字符。

参考如下例子:

  1. -code----------------------------------------------------  
  2. Set-Cookie: name=id\r\nP3P: xxxxxxxxxxxxxx\r\n  
  3. --------------------------------------------------------- 

 

红字部分是用户的输入。

在HTTP的标准中,冒号“:”,等号“=”,换行符CRLF“\r\n”,百分号“%”等字符都是有具体的语义的,属于代码部分。所以正常的用户数据中不应该包含有这些字符。

如果出于需求一定要包含怎么办?按照标准将这些字符全部encode。

在HTTP标准中可以使用urlencode,比如等号就变成了“%3d”。

这样就做到了代码与数据的分离。

代码与数据分离原则的本质还是体现了安全问题是信任问题这一思想。

代码是否应该信任数据,或者说代码应该信任怎样的数据,是这个原则的本质。

在应用中,比较好的例子是json、XSLT,这些方法都比较好的做到了数据与代码分离,所以在开发中多使用这些比较好的方法,无形中就提高了安全性。

最佳实践一:Secure By Default

经常可以看到一些权威文档上推荐使用“default denied”,这就是“Secure By Default”
的一种体现。

“Secure By Default”可以说是一个最佳实践。在很多时候,这个思想应该上升到战略的高度。只有真正做到“Secure By Default”,才能保证网站的安全。

因为随着时间的推移和系统的发展、膨胀,会变得越来越臃肿。一个大系统发展到后期,基本上没有一个人能了解系统的全部,而变化却每天都在发生。所以,在这种情况下,只有使用“Secure By Default”的思想来制定安全方案。

白名单往往是实现“Secure By Default”的方法。与黑名单不同,白名单的思想很好的体现了“default denied”。下面以XSS的防御问题举例。

对于一些HTML的标签和事件,黑名单的做法是列出危险的标签和事件,然后禁止他们。

WEB安全的设计思想就像大家介绍完了,希望大家已经掌握了。

【编辑推荐】

  1. Web云安全技术应用
  2. WEB应用安全设计思想
  3. Web安全网关采购指南 注重性能

 

责任编辑:佚名 来源: 服安资讯
安全
相关推荐
WEB应用安全设计思想
我们见到过各种各样的攻击,也做过各种各样的防御方案。有的方案好,有的方案却有缺陷。那么好的方案好在哪里,为什么就能够抵抗攻击,到底什么特性使得攻击者的成本升高了,使得风险降低了。这中间是否有什么共同的东西呢?安全的本质究竟是什么呢?

2011-03-11 17:07:16

WEB应用安全设计思想
前言,我一直在思考的一个问题,就是安全问题的本质到底是什么。我们见到过各种各样的攻击,也做过各种各样的防御方案。有的方案好,有的方案却有缺陷。那么好的方案好在哪里,为什么就能够抵抗攻击,到底什么特性使得攻击者的成本升高了,使得风险降低了。这中间是否有什么共同的东西呢?

2009-07-19 10:32:44

Web应用程序安全:通过设计来保证安全
应用程序并不是一成不变的,它们可能一开始只是一组功能,然后添加上元素并与其他应用程序合并变成其他复杂的应用程序。随着应用程序的越来越复杂,漏洞越来越多。

2012-03-20 10:28:43

如何确保 Web应用安全
不知从其何时,互联网已经成为人们生活当中不可或缺的“产物”,Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,给人们的生活带来了无法想象的变化。总而言之,以协同工作环境、社会性网络服务以及托管应用程序为代表的Web技术,已经在很大程度上改变人们沟通交流的方式和工作方式。但这些新的技术在给商业活动的发展带来便利的同时,也带来了...

2011-03-25 11:39:29

Web安全技术应用
一直以来,针对Web安全保护的技术更是层出不穷,目前此类技术流派已经分成两大类:第一类以新型的Web安全网关为基础,第二类以最新的云安全技术为基础。对用户而言,无论采用哪种技术,最关键的还是安全效果的体验。

2011-03-11 16:43:51

jQuery设计思想
jQuery是目前使用最广泛的javascript函数库。据统计,全世界排名前100万的网站,有46%使用jQuery,远远超过其他库。微软公司甚至把jQuery作为他们的官方库。

2011-07-26 15:30:32

jQuery
大型网站动态应用系统架构设计思想
动态应用,是相对于网站静态内容而言,是指以CC++、PHP、Java、Perl、.Net等服务器端语言开发的网络应用软件,动态应用系统通常与数据库系统、缓存系统、分布式存储系统等密不可分。

2010-08-10 10:10:28

系统架构
Web 2.0应用安全深入解析:企业级Web应用安全解决方案
跨站脚本攻击(crosssitescripting,简称XSS),是黑客用来潜入Web应用程序的最普遍的应用程序层攻击之一。XSS是针对特殊Web站点的客户隐私的攻击,当客户详细信息失窃或受控时可能引发彻底的安全威胁。

2012-12-18 17:11:58

WEB应用安全离你有多远?
WEB应用安全问题已经随着互联网的广泛应用而逐渐受到重视,网站篡改、网站敏感内容泄漏、网上银行的安全隐患、遭受来自互联网上的挂马攻击,已经身边随处可见,离我们并不遥远。

2011-08-02 11:08:54

Web应用安全保障“六要素”
对于开发人员来说,确保应用程序安全的最佳方法是使用建议的安全措施和可以扫描代码的软件,并提醒用户潜在的安全问题。管理员需要定期扫描其Web站点中的漏洞。

2014-02-28 09:49:11

打造网银WEB应用安全
由于目前网银交易认证机制存在着缺陷和黑客组织恶意渗透破坏等原因,针对网银的趋利性犯罪态势也越来越明显。为此,2009年人民银行开始致力于制订网银规范,并于2012年底正式发布了《网上银行系统信息安全通用规范》。

2013-10-10 14:11:30

Web应用常见的安全威胁
Web应用程序和服务的增长已超越了程序开发人员所接受的安全培训和安全意识的范围。Web应用系统的安全风险达到了前所未有的高度。

2012-10-26 11:37:12

Web安全技术应用
近日,整合Web、邮件和数据安全防护解决方案提供商Websense发布了对2009年的安全预测报告。其中值得注意的是,“云安全”技术被滥用、Web应用和Web2.0应用等被恶意利用的几率将大幅增加。

2009-07-29 17:19:14

Web 2.0应用安全深入解析
什么是Web2.0?它包含了哪些技术?这些技术的产生又对网络应用安全带来了哪些隐患和风险?本文从这些问题着手,重点探讨Web2.0时代的技术特征和应用安全,并通过结合明鉴Web应用弱点扫描器安全解决方案,为大家提供面对新时代、新问题的应用安全应对思路。

2011-02-15 11:46:41

重构HTML改善Web应用设计
重构是在不改变程序行为的基础上进行小的改动,是代码逐渐改善的过程。移除长期累积下来的烂码,以得到更清晰和更容易维护,除错以及添加新功能的代码,这做法不能单纯只出现在编码的后期,甚至是你意识到你的代码已经无从再下手非重写不可的时候,而是从开始开发起,逐渐积累,逐渐修改。

2014-10-27 09:51:19

Web设计HTML
Web应用的缓存设计模式
我们去年有一个老产品重写的项目,这个产品有超过10年历史了,数据库的数据量很大,多个表都是上千万条记录,最大的表记录达到了9000万条,Web访问的请求数每天有300万左右。

2013-03-28 13:08:15

Web缓存
IBM Unix设计思想
关于系统可用性方面,IBMUnix的设计思想是:在关键性部件(如CPU,内存等)出现硬件故障时,系统能自动隔离失效部件并且继续运行。

2010-05-05 17:45:12

IBM Unix
利用Nessus进行WEB应用安全扫描
在此前的文章中,游侠谈到过[免费网络和主机漏洞评估程序Nessus4.2.0安装试用],可能有朋友注意到,Nessus只是扫描主机、网络设备等的漏洞,而对于目前相当流行的Web应用安全漏洞没有涉及,其实Nessus是有此项设置的,不过默认没有打开——理由是会延长扫描时间……游侠感觉还是有必要说一下的。

2010-09-15 12:15:23

NessusWEB应用安全扫描
Web应用防火墙?Web安全网关?
无论是基于Web的应用系统还是Web网站,他们都面临着各种各样且来源不定的安全威胁。他们有些是已被发现,并具有可识别的固定特征的;则是因网站的设计和代码,以及攻击者的行为习惯而异的。而所有这些都是Web应用系统和Web网站必须面对和解决的安全问题。

2010-07-12 14:15:56

Web应用安全十大主动安全措施
本文中笔者分享了在WEB应用安全方面的一些心得。

2013-09-26 10:19:34

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服