安全攻击及防范手册概览.doc

2010 年8月安全攻击及防范手册版本 1 1 概述概述 简介简介当今世界, ( 因特网) 已经成为一个非常重要的基础平台,很多企业都将应用架设在该平台上,为客户提供更为方便、快捷的服务支持。这些应用在功能和性能上,都在不断的完善和提高,然而在非常重要的安全性上,却没有得到足够的重视。随着 WEB 技术应用的范围越来越广泛, WEB 技术相关的安全漏洞越来越多的被挖掘出来,而针对 WEB 站点的攻击已经成为了最流行的攻击途径。不久前项目管理部对公司内外重点系统进行了一次安全隐患分析测试,并总结出了《公司安全测试问题分类及描述》的报告文档。本文针对此报告中提到的一些重大安全隐患问题逐一分析, 并给出相应的解决方案。 参考资料参考资料《 Java 安全性编程实例》《网站系统安全开发手册》《企业级 Java 安全性( 构建安全的 J2EE 应用)》 2 2 WEB WEB 安全隐患及预防措施安全隐患及预防措施 会话标识未更新会话标识未更新 描述描述登陆过程前后会话标识的比较, 显示它们并未更新, 这表示有可能伪装用户。初步得知会话标识值后, 远程攻击者有可能得以充当已登录的合法用户。 安全级别安全级别高。 安全风险安全风险可能会窃取或操纵客户会话和 cookie , 它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。 解决方案解决方案?不要接受外部创建的会话标识。?始终生成新的会话,供用户成功认证时登录。?防止用户操纵会话标识。?请勿接受用户浏览器登录时所提供的会话标识。?如果有验证码的。验证码改用 application 存储。同时记得释放资源 技术实现技术实现?登陆界面和登陆成功的界面一致时修改后台逻辑,在验证登陆逻辑的时候,先强制让当前 sessio n 过期,然后用新的 session 存储信息。?登陆界面和登陆成功的界面不一致时在登陆界面后增加下面一段代码,强制让系统 session 过期。 ().invalidate();// 清空 session Cookie cookie = ()[0];// 获取 cookie (0);// 让 cookie 过期注意: 框架 已经修改了登陆验证类,登陆成功后会清理掉当前 session ,重新创建一个新的 session 。凡是使用框架 的项目均可统一增加此功能。 不充分帐户封锁不充分帐户封锁 描述描述程序没有使用锁定功能,可以穷举密码,可以造成蛮力攻击,恶意用户发送大量可能的密码和/ 或用户名以访问应用程序的尝试。由于该技术包含大量登录尝试, 未限制允许的错误登录请求次数的应用程序很容易遭到这类攻击。 安全级别安全级别高。 安全风险安全风险可能会升级用户特权并通过 Web 应用程序获取管理许可权。 解决方案解决方案请确定允许的登录尝试次数( 通常是 3-5 次), 确保超出允许的尝试次数之后,便锁定帐户。为了避免真正的用户因帐户被锁定而致电支持人员的麻烦, 可以仅临时性暂挂帐户活动, 并在特定时间段之后启用帐户。帐户锁定大约 10 分钟, 通常用这样的方法阻止蛮力攻击。 技术实现技术实现?提供锁定信息配置类,可根据项目特定需求修改此配置信息。?修改登陆验证逻辑,根据上面的配置信息提供帐户锁定功能。注意: 框架 已经实现了此功能,凡是使用框架 的项目均可统一增加此功能。 可预测的登录凭证可预测的登录凭证 描述描述发现应用程序会使用可预期的认证凭证(例如: admin+admin 、 guest+guest )。攻击者很容易预测用户名和密码,登录应用程序,从而获取未获授权的特权。 安全级别安全级别高。 安全风险安全风险可能会升级用户特权并通过 Web 应用程序获取管理许可权。 解决方案解决方案不应使用易于预测的凭证(例如: admin+admin 、 guest+guest 、 test+test 等) ,因为它们可能很容易预测,可让用户不当进入应用程序。 技术实现技术实现只要养成良好的****惯, 坚决不使用容易预测的名和密码, 即可彻底杜绝此类问题。 登录错误