javaWeb安全验证漏洞修复总结.doc

EMAEMA 服务管理平台二期扩容安全验收服务管理平台二期扩容安全验收 漏洞修复总结漏洞修复总结 2011 年 5 月 中国电信 EMA 服务管理平台二期扩容安全验收漏洞修复总结 - i - 目目 录录 1WEB 安全介绍安全介绍.1 2SQL 注入、盲注注入、盲注 1 2.1SQL 注入、盲注概述.1 2.2安全风险及原因.2 2.3APPSCAN扫描建议2 2.4应用程序解决方案.4 3会话标识未更新会话标识未更新7 3.1会话标识未更新概述.7 3.2安全风险及原因分析.7 3.3APPSCAN扫描建议8 3.4应用程序解决方案.8 4已解密登录请求已解密登录请求8 4.1已解密登录请求概述.8 4.2安全风险及原因分析.8 4.3APPSCAN扫描建议9 4.4应用程序解决方案.9 5跨站点请求伪造跨站点请求伪造11 5.1跨站点请求伪造概述.11 5.2安全风险及原因分析.12 5.3APPSCAN扫描建议12 5.4应用程序解决方案.12 6不充分账户封锁不充分账户封锁13 6.1不充分账户封锁概述.13 6.2安全风险及原因分析.13 6.3APPSCAN扫描建议13 6.4应用程序解决方案.13 7启用不安全启用不安全 HTTP 方法方法14 7.1启用不安全 HTTP 方法概述.14 7.2安全风险及原因分析.14 7.3APPSCAN扫描建议15 7.4应用程序解决方案.15 8HTTP 注释敏感信息注释敏感信息.16 8.1HTTP 注释敏感信息概述.16 8.2安全风险及原因分析.16 8.3APPSCAN扫描建议16 8.4应用程序解决方案.16 9发现电子邮件地址模式发现电子邮件地址模式.16 中国电信 EMA 服务管理平台二期扩容安全验收漏洞修复总结 - ii - 9.1发现电子邮件地址模式概述 .16 9.2安全风险及原因分析.17 9.3APPSCAN扫描建议17 9.4应用程序解决方案.17 10通过框架钓鱼通过框架钓鱼20 10.1通过框架钓鱼概述.20 10.2安全风险及原因分析.20 10.3APPSCAN扫描建议 .20 10.4应用程序解决方案.23 11检查到文件替代版本检查到文件替代版本 25 11.1检查到文件替代版本概述 .25 11.2安全风险及原因分析.25 11.3APPSCAN扫描建议 .25 11.4应用程序解决方案.26 中国电信 EMA 服务管理平台二期扩容安全验收漏洞修复总结 1 1Web 安全介绍安全介绍 目前很多业务都依赖于互联网，例如说网上银行、网络购物、网游等， 很多恶意攻击者出于不良的目的对Web 服务器进行攻击，想方设法通过各 种手段获取他人的个人账户信息谋取利益。正是因为这样，Web 业务平台 最容易遭受攻击。同时，对 Web 服务器的攻击也可以说是形形色色、种类繁 多，常见的有挂马、 SQL 注入、缓冲区溢出、嗅探、利用 IIS 等针对 Webserver 漏洞进行攻击。 一方面，由于 TCP/IP 的设计是没有考虑安全问题的，这使得在网络上 传输的数据是没有任何安全防护的。攻击者可以利用系统漏洞造成系统进程 缓冲区溢出，攻击者可能获得或者提升自己在有漏洞的系统上的用户权限来 运行任意程序，甚至安装和运行恶意代码，窃取机密数据。而应用层面的软 件在开发过程中也没有过多考虑到安全的问题，这使得程序本身存在很多漏 洞，诸如缓冲区溢出、 SQL 注入等等流行的应用层攻击，这些均属于在软件 研发过程中疏忽了对安全的考虑所致。 另一方面，用户对某些隐秘的东西带有强烈的好奇心，一些利用木马或 病毒程序进行攻击的攻击者，往往就利用了用户的这种好奇心理，将木马或 病毒程序捆绑在一些艳丽的图片、音视频及免费软件等文件中，然后把这些 文件置于某些网站当中，再引诱用户去单击或下载运行。或者通过电子邮件 附件和 QQ、MSN 等即时聊天软件，将这些捆绑了木马或病毒的文件发送给用 户，利用用户的好奇心理引诱用户打开或运行这些文件、 2SQL 注入、盲注注入、盲注 2.1 SQL 注入、盲注概述注入、盲注概述 Web 应用程序通常在后端使用数据库，以与企业数据仓库交互。查询数据 库事实上的标准语言是 SQL（各大数据库供应商都有自己的不同版本） 。Web 应用程序通常会获取用户输入（取自 HTTP 请求） ，将它并入 SQL 查询中，然 后发送到后端数据库。接着应用程序便处理查询结果，有时会向用户显示结果。 如果应用程序对用户（攻击者）的输入处理不够小心，攻击者便可以利用这种 操作方式。在此情况下，攻击者可以注入恶意的数据，当该数据并入 SQL 查 询中时，就将查询的原始语法更改得面目全非。例如，如果应用程序使用用户 的输入（如用户名和密码）来查询用户帐户的数据库表，以认证用户，而攻击 中国电信 EMA 服务管理平台二期扩容安全验收漏洞修复总结 2 者能够将恶意数据注入查询的用户名部分（和/或密码部分） ，查询便可能更改 成完全不同的数据复制查询，可能是修改数据库的查询，或在数据库服务器上 运行 Shell 命令的查询。 2.2 安全风险及原因安全风险及原因 高风险漏洞，攻击者可能会查看、修改或删除数据库条目和表 原因：未对用户输入正确执行危险字符清理 2.3 AppScan 扫描建议扫描建议 若干问题的补救方法在于对用户输入进行清理。 通过验证用户输入未包含危险字符，便可能防止恶意的用户导致应用程序执行 计划外的任务，例如：启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令，等等。 建议过滤出所有以下字符： 1 |（竖线符号） 2 （分号） 4 $（美元符号） 5 %（百分比符号） 6 （at 符号） 7 （单引号） 8 “（引号） 9 （反斜杠转义单引号） 10 “（反斜杠转义引号） 11 （尖括号） 2 “（引号） 3 （单引号） 4 %（百分比符号） 5 ;（分号） 6 ()（括号） 7 （分号） 执行 shell 命令： A. 绝不将未检查的用户输入传递给 eval()、open()、sysopen()、system() 之类的 Perl 命令。 B. 确保输入未包含恶意的字符，例如： 1 $（美元符号） 2 %（百分比符号） 3 （at 符号） XPath 注入：清理输入以排除上下文更改符号，例如： 1 （单引号） 2 “（引号） 等 LDAP 注入： A. 使用正面验证。字母数字过滤（AZ,az,09）适合大部分 LDAP 查询。 B. 应该过滤出或进行转义的特殊 LDAP 字符： 1 在字符串开头的空格或“#”字符 2 在字符串结尾的空格字符 3 ,（逗号） 4 +（加号） 5 “（引号） 6 （反斜杠） 中国电信 EMA 服务管理平台二期扩容安全验收漏洞修复总结 4 7 =loginLockTimes) this.lockUser(userCode); throw new MySecurityException(“密码不正确! 用户:“ + userCode); 7启用不安全启用不安全 HTTP 方法方法 7.1 启用不安全启用不安全 HTTP 方法概述方法概述 似乎 Web 服务器配置成允许下列其中一个（或多个）HTTP 方法（动词）： - DELETE - SEARCH - COPY - MOVE - PROPFIND 中国电信 EMA 服务管理平台二期扩容安全验收漏洞修复总结 15 - PROPPATCH - MKCOL - LOCK - UNLOCK 这些方法可能表示在服务器上启用了 WebDAV，可能允许未授权的用户对其进行利用。 7.2 安全风险及原因分析安全风险及原因分析 安全风险中，可能会在 Web 服务器上上载、修改或删除 Web 页面、脚本和 文件 原因：Web 服务器或应用程序服务器是以不安全的方式配置的 7.3 AppScan 扫描建议扫描建议 如果服务器不需要支持 WebDAV，请务必禁用它，或禁止不必要的 HTTP 方法 （动词）。 7.4 应用程序解决方案应用程序解决方案 修改 web 工程中 web.xml,增加安全配置信息，禁用不必要 HTTP 方法 HtmlAdaptor test *.jsp *.do GET POST PUT DELETE HEAD OPTIONS 中国电信 EMA 服务管理平台二期扩容安全验收漏洞修复总结 16 TRACE JBossAdmin 。 8HTTP 注释敏感信息注释敏感信息 8.1 HTTP 注释敏感信息概述注释敏感信息概述 很多 Web 应用程序程序员使用 HTML 注释，以在需要时帮助调试应用程 序。尽管添加常规注释有助于调试应用程序，但一些程序员往往会遗留重要数 据（例如：与 Web 应用程序相关的文件名、旧的链接或原非供用户浏览的链 接、旧的代码片段等） 。 8.2 安全风险及原因分析安全风险及原因分析 安全风险低，能会收集有关 Web 应用程序的敏感信息，如用户名、密码、机器 名和/或敏感文件位置 原因：程序员在 Web 页面上留下调试信息 8.3 AppScan 扫描建议扫描建议 1 请勿在 HTML 注释中遗留任何重要信息（如文件名或文件路径）。 2 从生产站点注释中除去以前（或未来）站点链接的跟踪信息。 3 避免在 HTML 注释中放置敏感信息。 4 确保 HTML 注释不包括源代码片段。 5 确保程序员没有遗留重要信息。 。 中国电信 EMA 服务管理平台二期扩容安全验收漏洞修复总结 17 8.4 应用程序解决方案应用程序解决方案 虽然这个漏洞为低级别漏洞，但电信方也是要求必须修复，要修改此漏洞需 要检查工程中的每一个 jsp 页面，工作量还是挺大。所以在后续开发过程中注 释尽量写英文注释，尽量不要遗留敏感注释信息在 jsp 代码中，养成良好的编 码习惯才是解决问题根本。 9发现电子邮件地址模式发现电子邮件地址模式 9.1 发现电子邮件地址模式概述发现电子邮件地址模式概述 Spambot 搜寻因特网站点，开始查找电子邮件地址来构建发送自发电子邮件 （垃圾邮件）的邮件列表。 AppScan 检测到含有一或多个电子邮件地址的响应， 可供利用以发送垃圾邮件。 而且，找到的电子邮件地址也可能是专用电子邮件 地址，对于一般大众应是不可访问的。 9.2 安全风险及原因分析安全风险及原因分析 安全风险低，能会收集有关 Web 应用程序的敏感信息，如用户名、密码、机器 名和/或敏感文件位置 原因：Web 应用程序编程或配置不安全 9.3 AppScan 扫描建议扫描建议 从 Web 站点中除去任何电子邮件地址，使恶意的用户无从利用。 9.4 应用程序解决方案应用程序解决方案 根据扫描建议删除注释中出现 email 地址信息，如果页面中要显示 mail 地址 转为图片形式展示。如：ema 服务管理平台首页需要展示客户联系方式，并且 联系方式、email 等信息，这些信息用户都是可以自行修改的，因为包含了 email 地址，所以联系方式就转为图片形式： 运营中心联系方式 10 通过框架钓鱼通过框架钓鱼 10.1 通过框架钓鱼概述通过框架钓鱼概述 网络钓鱼是一个通称，代表试图欺骗用户交出私人信息，以便电子欺骗身份。 攻击者有可能注入 frame 或 iframe 标记，其中含有类似受攻击之网站的恶意 属性。不小心的用户有可能浏览它，但并不知道他正在离开原始网站，冲浪到 恶意的网站。之后，攻击者便可以诱惑用户重新登录，然后获取他的登录凭证。 伪造的网站嵌入在原始网站中，这个情况对攻击者有帮助，因为他的网络钓鱼 企图会披上更可信赖的外表。 样本利用： 如果参数值未经适当清理，便反映在响应中，下列请求：http:/SERVER /script.aspx?parameter= 会使响应含有通往这个邪恶站点的框架。 10.2 安全风险及原因分析安全风险及原因分析 安全风险中，可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保 险号等敏感信息 中国电信 EMA 服务管理平台二期扩容安全验收漏洞修复总结 21 原因：对用户输入正确执行危险字符清理 10.3 AppScan 扫描建议扫描建议 若干问题的补救方法在于对用户输入进行清理。 通过验证用户输入未包含危险字符，便可能防止恶意的用户导致应用程序执行 计划外的任务，例如：启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令，等等。 建议过滤出所有以下字符： 1 |（竖线符号） 2 （分号） 4 $（美元符号） 5 %（百分比符号） 6 （at 符号） 7 （单引号） 8 “（引号） 9 （反斜杠转义单引号） 10 “（反斜杠转义引号） 11 （尖括号） 2 “（引号） 中国电信 EMA 服务管理平台二期扩容安全验收漏洞修复总结 22 3 （单引号） 4 %（百分比符号） 5 ;（分号） 6 ()（括号） 7 （分号） 执行 shell 命令： A. 绝不将未检查的用户输入传递给 eval()、open()、sysopen()、system() 之类的 Perl 命令。 B. 确保输入未包含恶意的字符，例如： 1 $（美元符号） 2 %（百分比符号） 3 （at 符号） XPath 注入：清理输入以排除上下文更改符号，例如： 1 （单引号） 2 “（引号） 等 LDAP 注入： A. 使用正面验证。字母数字过滤（AZ,az,09）适合大部分 LDAP 查询。 B. 应该过滤出或进行转义的特殊 LDAP 字符： 1 在字符串开头的空格或“#”字符 2 在字符串结尾的空格字符 3 ,（逗号） 4 +（加号） 5 “（引号） 6 （反斜杠） 7 （尖括号） 8 ;（分号） 9 ()（括号） MX 注入： 应该过滤出特殊 MX 字符： 1 CR（回车符，ASCII 0x0d） 2 LF（换行，ASCII 0x0a）记录伪造： 应该过滤出特殊记录字符： 中国电信 EMA 服务管理平台二期扩容安全验收漏洞修复总结 23 1 CR（回车符，ASCII 0x0d） 2 LF（换行，ASCII 0x0a） 3 BS（退格，ASCII 0x08） ORM 注入： A. 确保用户输入的值和类型（如 Integer、Date 等）有效，且符合应用程序 预期。 B. 利用存储过程，将数据访问抽象化，让用户不直接访问表或视图。 C. 使用参数化查询 API D. 清理输入以排除上下文更改符号，例如： (*)： 1 （单引号） 2 “（引号） 3 （反斜线转义单引号） 4 “（反斜杠转义引号） 5 )（结束括号） 6 ;（分号） (*) 这适用于 SQL。高级查询语言可能需要不同的清理机制。 。 10.4 应用程序解决方案应用程序解决方案 新建一个过滤器，通过过滤器过滤 SQL 注入特殊字符，配置成功后，重启服 务，用 Appsan 工具扫描，漏洞得到解决，具体实现方式如下： 1、在、在 web.xml 文件中配置过滤器文件中配置过滤器 requestEncodingFilter /* InjectFilter com.sitech.ismp.util.context.InjectFilter 2、过滤器过滤代码、过滤器过滤代码 public class InjectFilter extends IsmpServletFilter private String failPage = “/loginout.jsp“;/发生注入时，跳转页面 public void doFilter(ServletRequest request,ServletResponse response, FilterChain filterchain)throws IOException, ServletException /判断是否有注入攻击字符 中国电信 EMA 服务管理平台二期扩容安全验收漏洞修复总结 24 HttpServletRequest req = (HttpServletRequest) request; String inj = injectInput(req); if (!inj.equals(“) request.getRequestDispatcher(failPage).forward(request, response); return; else / 传递控制到下一个过滤器 filterchain.doFilter(request, response); /* * 判断request中是否含有注入攻击字符 * param request * return */ public String injectInput(ServletRequest request) Enumeration e = request.getParameterNames(); String attributeName; String attributeValues; String inj = “; while (e.hasMoreElements() attributeName = (String)e.nextElement(); /不对密码信息进行过滤，一般密码中可以包含特殊字符 if(attributeName.equals(“userPassword“)|attributeName.equals(“co nfirmPassword“)|attributeName.equals(“PASSWORD“) |attributeName.equals(“password“)|attributeName.equals(“PASSWOR D2“)|attributeName.equal