【YOU学吧】技术干货:产品常见漏洞及防御方案--第14期--安全漏洞相对于性能、异常、故障还有bug等问题来说更为可怕,尤其是针对数据安全。本期【YOU学吧】NC技术支持专家将为小伙伴们分享关于产品中的一些安全漏洞及防御方案。绝对技术干货,速速收藏吧!产品常见漏洞及防御方案方案主要涉及到的8种安全漏洞:1.http请求漏洞2.XSS(CrossSiteScript)攻击3.CSRF(Cross-siterequestforgery)攻击4.Httponly漏洞5.httpverbtampering漏洞6.httphost漏洞7.XXE攻击8.SQL注入攻击1http请求漏洞1.1概念数据传输未进行加密处理,网络请求中导致敏感数据泄漏(用户信息、机器名等数据泄漏)1.2攻击原理利用get参数明文方式的不安全性漏洞进行攻击1.3防御方案请求方式由Get改为Post方式:.post数据用socket协议加密传输比http协议的get更安全,这样除了参数值不会被明文显示,并且也不容易被黑客发现构造出请求。极大减少黑客攻击的可能性。扩展:黑客代码改进,仍可以继续攻击成功:So:安全是相对的,可以组合多种防御来减少攻击发生的可能性,或者破坏一个链路使其不能攻击成功。2XSS(CrossSiteScript)攻击2.1概念利用开发人员编码漏洞,对html或js注入非法脚本产生的攻击行为2.2攻击原理利用开发人员编码漏洞,对html或js注入非法脚本产生的攻击行为,如下图则为一个XSS攻击示例:2.3防御方案过滤和编码,伪代码(仅参考):比如一个url编码前后的字符串如下:
=><ahref='http://www.heike.com/index.jsp'></a>由于破坏了html结构,用户再点击时,则不会跳转3CSRF(Cross-siterequestforgery)攻击3.1概念webserver的session(cookie)不安全认证机制导致服务器易受攻击,它的危害是:一旦窃取到当前会话,只要当前用户有权限的操作黑客都可以做3.2攻击原理扩展:发生CSRF攻击产生的三个不可缺少条件:步骤一:登录博客网站,并且在不退出当前站点情况下访问黑客网站Ps:借助当前登录的cookie(对应服务端的Session)步骤二:黑客在自己的站点构造非法请求,并发送攻击请求Ps:博客网站不会有对自己攻击的请求页面存在步骤三:当前登录用户必须有新增管理员权限3.3防御方案方案一:验证HttpReferer此方案问题:大多数情况下没问题,少数情况用户设置浏览器属性不提供Referer,影响用户正常使用;开发人员代码设置禁用rel="noreferrer"方案二:使用csrftoken进行安全校验(终极方案)使用csrftoken机制后,请求时要带上csrftoken值(伪代码,仅参考):Csrftoken生成方式(伪代码,仅参考):CSRF(跨站点攻击)基本要点:1).CSRF攻击要点一:理解其防御原理由于通用的Session(cookie)容易被恶意网站绕过验证,对服务器产生严重的攻击行为,所以在服务器端重新做了一套认证方式,同时存储在服务器端和客户端cookie中。2).CSRF攻击要点二:攻击的前提是发生XSS攻击CSRF攻击产生的必要条件:1.具备XSS可攻击漏洞(嵌入脚本到要攻击的网站中)2.具备CSRF可攻击漏洞(构建非法请求)4httponly漏洞4.1概念设置了httponly,可以使Cookie在document对象中不可见,防止不法获取cookie的可能性4.2防御方案Java代码(参考):response.setHeader("Set-Cookie","HTTPOnly");5authenticationbypassusinghttpverbtampering漏洞5.1概念不安全的HTTP方法PUT/DELETE/MOVE/COPY/TRACE/PROPFIND/PROPPATCH/MKCOL/LOCK/UNLOCK允许攻击者修改web服务器文件、删除web页面、甚至上传webshell获取用户的身份信息等,它们都有可能制造出严重的安全漏洞,开发人员需要对HTTP请求类型进行控制,防止服务器资源被非授权篡改5.2攻击原理模拟除合法关键字之外的非法请求动词5.3防御方案配置安全规则,只允许特定的httpverb(伪代码(仅参考)):6httphost攻击漏洞6.1概念简单地说,允许非法网站访问主机请求,对当前系统产生攻击行为,常用于邮件账户攻击。6.2防御方案设置host白名单,只允许接收特定的host,伪代码(仅参考):7XXE攻击7.1概念XXE:XMLExternalEntity即外部实体,从安全角度理解成XMLExternalEntityattack外部实体注入攻击7.2攻击原理攻击原理在一个XML文件中,通过引用外部实体,外部实体中含有攻击的链接或脚本,对系统造成攻击。产生危害读取文件执行系统命令探测内网端口攻击内网网站7.3防御方案如何防御xxe攻击:方案一:开发语言提供的禁用外部实体的方法(ps:我们产品采用这种方式解决,禁止引用外部实体)方案二:用户提交的XML数据8SQL注入攻击8.1概念通过界面或其它方式把非法sql脚本注入并成功执行。参数替换,禁止直接拼SQL的方式这个是产品中存在数量最多的安全漏洞8.2攻击原理嵌入非法脚本,恶意窃取或损坏数据8.3防御方案对sql语句中的参数进行编码和解码处理,参数替换进入iSM社区(http://ism.yonyou.com)搜索“技术安全”了解更多内容!【本文作者】郑健NC技术支持“坚韧的后盾”【往期回顾】【Y0U学吧】第01期——税率调整,用友NC6产品应对方案轻松get!【Y0U学吧】第02期——税率调整,用友NC5产品应对方案轻松get!【YOU学吧】第03期——学会这一招,NC6产品敏感数据权限控制都搞定!【YOU学吧】第04期——假日将至,解锁NC6产品假日方案设置新技能【YOU学吧】第05期——支招:NC6如何设定物料采购和销售不同税率【YOU学吧】第06期——NC资金贷款担保集成应用方案轻松学【YOU学吧】第07期——实用!NC单据按个性化要求入账的正确姿势【YOU学吧】第08期——进阶必备!NC单据表体显示现存量技巧解密【YOU学吧】第09期——关于NC6银企直联,你不得不知的设置窍门!【YOU学吧】第10期——一分钟玩转NC6跨组织薪资分摊,秒变高手!【YOU学吧】第11期——有了它,再也不用担心NC6组织权限设置出错!【YOU学吧】第12期——精通语义模型,轻松搞定NC报表取数!【YOU学吧】第13期——NC预算取总账数据,轻松pick【YOU学吧】3分钟get一个NC新技能!相约用友iSM服务社区,每周为你献上知识盛宴。
