编写安全的ASP代码(2)
发布时间:2008-03-24 20:10:00
这一类的问题,如果依然用动网论坛做例子,我建议看一下六月八号的漏洞文章。
还有就是过滤器的位置,这个掺杂了逻辑问题在内的复杂问题。
我曾经非常惊奇地发现乔客论坛对外散布的版本中一段让人觉得不可思议的问题代码,如果你比较感兴趣的话,翻翻gallery.asp就能看到一个特定的动作序列(action=flash_view),绕过了所有对id的检查。
其实说起来,这一类代码不太可能有太复杂的逻辑结构,对代码进行审查的时候,进行所有的分支覆盖是可以手工完成的,只要稍微想想就会发现对变量的检查是否能够有效地到达你的目的地——生成SQL语句的地方。
关于过滤器的位置,如果要深入下去,马上就会出来一些让人眼花缭乱的东西,中间的分析很麻烦而且很形式化,虽然确实有算法可以保证位置选取的正确性,但是我想这里还是给出一些结论性的东西吧。倘若你很有兴趣,我想你可以来信和我交流。
过滤的位置,取决于两个方面:你获得变量的来源,以及你需要保证到的生成SQL语句的位置。前面一个,不论是来自于直接还是间接输入,先想想可能的输入字符;对于后面一个,你要保证无论程序运行情况怎样,经过了过滤语句的流程一定会经过你需要保证到的生成SQL语句的位置(保证其是有效过滤语句的后向必经节点)。如果你不很清楚流程的判断,我的建议是if中仅仅判断,if嵌套间不要有多余的东西,过滤语句后紧接生成SQL语句。
再回到前面提到的潜在问题,我们终于可以在这里解决了:在取出数据后依然首先进行判断。因为根据前面说的,这一种间接输入依然有可能出现危险。
说到这里,插一句另类的过滤位置问题:不要把对输入的过滤放到客户端解决,那是可以绕过的!谁能保证你的VBScript/JavaScript能起作用,如果别人直接用NC或者一个不支持脚本的浏览器呢?
上述两个大的方面,以软件测试的目光来认识,显然是没有穷尽所有的分支所导致。在使用对方提交的数据之前,先做一个对方所有可能进入字符的分析列表,然后就每一种输入分支情况进行类型的审核,这是每个代码编写者都应该做的事情。这是一件很简单的事情,因为只是类型上的审核还好,碰上语义的问题就麻烦了……
三、类型正确意味着放行?
涉及到语义的问题,要是可能的话,我选择最好还是避开。
譬如对于一个整型数字,你输入的确实是一个整型,通过了过滤器,潜在的问题是你的输入内容上合法吗,或者根本就不应该从你这里获得信息?很多年前就有人提出来,有些注册的模块存在问题:它里面的id是通过一个type=hidden掩盖后隐式提交的,但是我在第一步建立了用户,第二步仍就有可能通过提交内容不合法的id来修改他人的信息。这种异类的问题都是非常难发现,而且几乎都只有靠经验而不是某一个具体的算法来处理。我们在联系一下前面的,连起来想想或许能够更加清楚,对于输入的字符串,感觉上没有过滤也不会有错,因为比较数字之类集合来说,字符串所能容纳的几乎是全部可能输入的集合。事实上,常见的是没有过滤造成单引号的错误匹配,进而导致了SQL Injection。严格说起来,这也是一个语义上的问题,不过对于这样子的特殊情况而言,可以通过处理输入中的单引号来保证语义的某种程度上的正确。所以我也一再强调,单引号本身是无罪的,不过是背了语义的黑锅而已。
令人遗憾的是,如果是整型数据出了语义上的问题,没有什么东西可以替语义背黑锅了,所以没有了一个一定程度上通用的解决方案。不过也不要悲观,前面就已经说过,能避开就避开,釜底抽薪不要让可能有语义问题的变量作为输入好了。
仅仅考虑数据库安全的话,所有有威胁的语义问题都几乎出在对数据库的操作上,那么,我们只要注意update/insert等语句就可以了,如果考虑数据内容的安全性的话,select也得算上。一般来说,特别关注的是生成的where后面的条件语句,总觉得条件的语义应该是由服务器端决定的,而不是说用户的输入是什么就是什么。我的建议是对于所有的可能出现语义问题的整型变量,最好都是Session,当然,没有进行非常深入的研究,或许有人能够提出像对付字符串的语义问题一样的有效方法也说不一定。不过话又说回来,在语义层面上看对字符串的过滤,不能证明它不安全,但是更重要的没有人能够证明它安全,只是大家现在用着没有问题,也就默认了罢了。
若要深入的分析语义,也会突然冒出一大堆奇怪的东西,所以还是就此打住吧,真切的希望同行之间能够多一些这方面的交流!
前面说的也许更多地会用在一些对既有代码的补救上,如果是从头开始构架一个软件的话,上面的仅仅是设计上一些参考。所有的漏洞都是源于设计上的缺陷,一个好的软件应该被证明其模型是正确的,这很难但是可以做到。如果你一开始就证明了软件的正确性,我想也不会有漏子可以给别人钻了。


猜你喜欢
- 这里我们按照所需要的服务开放响应的端口。在2003系统里,不推荐用TCP/IP筛选里的端口过滤功能,譬如在使用FTP服务器的时候
- 10月26日凌晨消息,据迅雷内部人士透露,迅雷将于近期起诉搜狐侵犯版权,这是自9月份搜狐成立联盟起诉迅雷后,迅雷公司首次作出回应。据了解,迅
- 先说明下为什么要写这篇文章,以及纠结于这个“小问题”。首先开启静态文件的gzip压缩非常有利用提高网站的访问速度,并且有效减少蜘蛛爬行静态页
- 什么是ARP地址解析协议(Address Resolution Protocol,ARP)是在仅知道主机的IP地址时确定其物理地址的一种协议
- 近期国内部分站点遭到了较大规模的拒绝服务(D.O.S)攻击(包括类似前期yahoo等大型国际网站所遭受的的DDoS攻击——分布式拒绝服务攻击
- 很多人都说虚拟机不易管理,原因是我们对于虚拟化的使用技巧掌握的还不是很好。今天,我们就来看三个Linux下的VMware workstati
- 环境:主机Win7、VMware Workstation 6.5.3、虚拟机Ubuntu10.04。一、桥接的基本原理配置成桥接网络连接模式
- 康盛创想(Comsenz)结合网络社区产品发展趋势,推出的UCenter Home建站系统与漫游开放平台,加速了国内SNS的普及,使得SNS
- Apache 默认存放网页根目录,是在/var/www/html/下面,也就是说,默认情况下,一个服务器,只能跑一个网站。但是一台性能还算不
- 部署Exchange Server 2007的前提条件Microsoft .NET Framework 2.0http://www.micr
- 一、什么是虚拟主机?所谓虚拟主机,就是把一台运行在互联网上的服务器划分成多个“虚拟”的服务器,每一个虚拟主机都具有独立的域名和完整的Inte
- 2009年10月16日,纳思达产业集团与爱必富品牌联盟正式签署合作协议。此项合作,代表中国通用耗材企业正从过去主要是为国外客户贴牌生产,转向
- 医学影像07年毕业 06年实习期间开始接触网络,06年9月份开始网络创业,放弃医学,走上了这个没有尽头的创业之路!同学们可能在在医院上班的时
- VirtualBox 未指定要bridged的网络界面的解决办法之前换了个新的笔记本,VirtualBox上的东西也陆续迁移了过来,基本is
- 根据观察,百度在今次调整上,显然不是小范围的调整,因为已经影响了大部分的关键字排名,在我的关键字优化日志中,近百个关键字显示出几乎超过一半的
- Windows2003服务器安装及设置教程——注册表篇 防DDOS洪水攻击处理reg add "HKEY_CURRENT
- CentOS Linux系统搭建Android开发环境详细介绍 很多
- 6月4日至6月10日,短短5个交易日内,腾讯控股累积重挫15%,放量击穿年线,而同期香港恒生指数基本保持持平。拥有同时在线人数超过 1亿的Q
- 企业最有价值的资产通常是其数据库中的客户或产品信息。因此,在这些企业中,数据库管理的一个重要部分就是保护这些数据免受外部攻击,及修复软/硬件
- 昨天登陆我的Google AdSense帐户发现,西联快汇已经支付,支付日期是10月30日,那么今天, 11.2日大家就可以到相