众所周知,软件的安全性如今已得到了前所未有的重视程度。许多企业会将安全性嵌入到应用程序的开发阶段。这样既能有利于整体安全性的遵守,又可以在软件的不同层面上创建多个安全性检查点。本文将通过如下图所示的各种方面,以实例的形式,向您展示各种安全代码的实践。虽然主要是以Java为例,但是它们也可以被运用到任何其他编程语言上。
1.转义/逃逸输入(Escape the Input)
所谓转义攻击是指攻击者将执行命令/查询,伪装并嵌入到普通的文字输入中,通过欺骗应用程序的执行引擎,而让其能够向攻击者提供各种信息与控制权。可见,为避免此类攻击的发生,我们需要对用户的输入进行转义,将其解释为文字,而非某些命令。同理,我们也需要对存储在数据库中的数据进行转义。
试想,如果某用户在其回帖的文字输入中带有JavaScript,那么他就可以试图从浏览器中窃取到Cookie。例如,当该回帖的内容被呈现在其他用户的浏览器屏幕上时,一旦我们的程序代码不去转义帖子中的包含的恶意代码。那么该JavaScript代码将被执行,并为攻击者提取各种所需的信息与控制权。以下是带有潜在风险的数据库查询代码,和相应的采取了转义措施的Java代码。
示例:
包含潜在风险的Java代码
String query = "SELECT user_id FROM user_data WHERE user_name = '" + req.getParameter("userID") + "' and user_password = '" + req.getParameter("pwd") +"'"; try { Statement statement = connection.createStatement( … ); ResultSet results = statement.executeQuery( query ); }
安全的Java代码
Codec ORACLE_CODEC = new OracleCodec(); String query = "SELECT user_id FROM user_data WHERE user_name = '" + ESAPI.encoder().encodeForSQL( ORACLE_CODEC, req.getParameter("userID")) + "' and user_password = '" + ESAPI.encoder().encodeForSQL( ORACLE_CODEC, req.getParameter("pwd")) +"'";
2.避免将ID作为序列号
在某些情况下,攻击者会设法超过现有的限制,以获取更多的信息。例如,某个API的用户只被允许查看ID号为1-100的用户信息。而如果该系统采用的是以ID为顺序的递增编号方式,那么我们就可以预测到下一个用户的序列号将是101。由此,攻击者便可以利用这一逻辑上的漏洞,来获取在其权限之外的信息。
示例:
包含潜在风险的Java代码
String sqlIdentifier = "select TESTING_SEQ.NEXTVAL from dual"; PreparedStatement pst = conn.prepareStatement(sqlIdentifier); synchronized( this ) { ResultSet rs = pst.executeQuery(); if(rs.next()) long myId = rs.getLong(1);
安全的Java代码
// This example is for Oracle String sqlIdentifier = "select TESTING_SEQ.NEXTVAL from dual"; PreparedStatement pst = conn.prepareStatement(sqlIdentifier); synchronized( this ) { ResultSet rs = pst.executeQuery(); if(rs.next()) long myId = rs.getLong(1) + UUID.random();
3.运用极简主义方法
为了减少攻击面,系统应采用最小的空间使用策略。从本质上说,这就意味着系统能够很好地避免各种权限的暴露。例如,根据某项业务需求,系统需要使用代码“HTTP 200”,来响应存在着被请求的资源。但是如果我们为REST API提供了get操作,那么就会增加攻击者的攻击面。相反,该系统应该只通过HTTP协议的head方法,来提供有关现有资源的信息,而不必提供更多的无关信息。
示例:
包含潜在风险的Java代码
//Get is allowed where we need to just check user exist http://localhost:8080/User/id/1
安全的Java代码
http://localhost:8080/User/id/1 Head
4.最小特权原则
让我们试想一个场景:通常,客服部门某个用户的常规访问权限是可以访问订单数据的API。但是为了简便起见或是某种原因,系统为其分配了超级管理员的角色。那么一旦他所处的系统被黑或遭到了帐号破坏,攻击者就可以利用他的超级管理员权限,来对该系统发起一系列的攻击操作。可见,为了减少攻击面,我们应当仅根据实际需求,以及既定的角色,来授予目标API相应的最小访问权限,不应该在系统中设置所谓可以访问所有内容的超级用户角色。
5.尽可能使用HTTPS或双向SSL
切勿以最原始的HTTP方式发布您的网站或是节点。毕竟如今大多数浏览器都会对那些单纯的HTTP站点显示警告。而且,业界建议针对集成的端点采用双向(2-Way)SSL方式,而对网站或站点通过HTTPS的方式,实现端到端加密。
不过,由于HTTPS只能保护了通信信道免受攻击,却无法在通道的密钥发生泄露时,保护数据。因此,业界建议使用强大的加密算法,对各种数据记录先进行加密,再通过可信的网络予以传输。
6.不要使用不安全的或弱的加密算法
如今,随着计算机算力的不断迭代与提高,弱的密钥已不再能够防止那些暴力破解的攻击手段。一些知名组织甚至将如下不安全的、或弱的加密算法,列入了所谓的“黑名单”。因此您在日常进行安全编程时,应当尽量避免使用到它们。
SHA-1
1024位RSA或DSA
160位ECDSA(椭圆曲线)
80/112位2TDEA(双密钥三重DES)
与其他各种旧算法类似,MD5从来都不是政府可以接受的算法。
7.将动态可执行代码(Dynamically Executed Code)列入白名单
如果您有一些代码是从API或APP的用户侧传入的,或者是在用户输入之后才生成的,那么为了让它们能够作为整体流程的一部分被执行,您需要让系统将这些待执行的命令列入白名单。例如,如果系统需要公布某项服务,以列出服务器上的对应目录,那么我们就需要将ls或dir之类的命令列入白名单,并转义用户输入的标志。
小结
综上所述,我们从加密、编码、白名单、最小特权、以及转义不可信的用户输入等方面,为您罗列了日常软件开发过程中的七种安全编码的实践示例。希望它们能够协助您大幅减少软件所面临的各种安全威胁,并提高自身的代码级安全态势。