fortify安全整改解决方案-2017年
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
log.info("Failed to parse val = " + val); }
正常日志: INFO:Failed to parse val=twenty-one 恶意日志:
若value输入:
twenty-one%0a%0aINFO:+User+logged+out%3dbadguy
输出:
INFO:Failed to parse val=twenty-one INFO:User logged out=badguy
• 示例代码
<% String eid = request.getParameter("eid"); %> Employee ID:<%= eid %>
XSS分类(2)
• Persisted XSS(持久式CSS)
程序将危险数据储存在一个数据库或其他可信赖 的数据存储器中。这些危险数据随后会被回写到应用 程序中,并包含在动态内容中。
Log Forging(日志攻击)
将未经验证的用户输入写入日志文件, 致使攻击者伪造日志条目或将恶意信息 内容注入日志。
示Hale Waihona Puke Baidu代码
String val = request.getParameter("val"); try {
int value = Integer.parseInt(val); }catch (NumberFormatException) {
为它们标记了该属性值的结束。 (4) 对于外加单引号的属性值,单引号(‘’)是特殊字符,因
为它们标记了该属性值的结束。
解决方案(2)
• URL重定向校验
(1)空格符、制表符和换行符标记了 URL 的结束。 (2) "&" 引入一个字符实体 (3)非 ASCII 字符(即 ISO-8859-1 编码表中所有高
• 避免使用 $ 字符拼接变量的情况
select * from t_user where name like ‘%$name$%’;
(1)Oracle select * from t_user where name like '%'||#name #||'%' ; (2)Mysql select * from t_user where name
解决方案
(1)只输出必要的日志,功能上线前删除大多数调试日 志
(2)过滤非法字符
常见安全漏洞
• SQL Injection(SQL注入) • Cross-Site Scripting (跨站脚本攻击) • Log Forging(日志攻击) • Unrelease Resource(资源泄漏)
Unrelease Resource (资源泄漏)
• 使用SQL关键字(AND/OR/DELETE/UPDATE)
itemName = ‘name’ or ‘1’=‘1’ itemName = ‘name’ ;Delete from items
注入原理(2)
• 使用特殊符号(% , --)
itemName = ‘%name%’; itemName = ‘name;delete from items ;--’
• 程序可能无法成功释放某一项已申请的 系统资源。
Cross-Site Scripting (跨站脚本攻击)
攻击者向动态Web页面里插入恶意 HTML代码,当用户浏览页面时,嵌入的 恶意代码被执行从而达到攻击的目的。
XSS分类(1)
• Reflected XSS(反射式XSS)
程序从 HTTP 请求中直接读取数据,并在 HTTP 响应 中返回数据。当攻击者诱使用户为易受攻击的 Web 应用程 序提供危险内容,而这些危险内容随后会反馈给用户并在 Web 浏览器中执行,就会发生反射式 XSS 。
2017-Fortify安全整改解决方案
常见安全漏洞
• SQL Injection(SQL注入) • Cross-Site Scripting (跨站脚本攻击) • Log Forging(日志攻击) • Unrelease Resource(资源泄漏)
SQL Injection (SQL 注入攻击)
• 示例代码:
JAVA代码:String name = dao.queryName(id);
JSP代码:Employee Name:<%= name %>
解决方案(1)
• 入参和出参校验
(1)“< >” 可以引入一个标签或者结束一个标签。 (2) "&" 可以引入一个字符实体。 (3)对于外加双引号的属性值,双引号(””)是特殊字符,因
like concat('%',#name #,'%') ; (3)Mssql
select * from t_user where name like '%'+#name #+'%
常见安全漏洞
• SQL Injection(SQL注入) • Cross-Site Scripting (跨站脚本攻击) • Log Forging(日志攻击) • Unrelease Resource(资源未释放)
于 128 的字符)不允许出现在 URL 中,因此在此上 下文中也被视为特殊字符。 (4)在服务器端对在 HTTP 转义序列中编码的参数进行 解码时,必须过滤掉输入中的 "%" 符号。
常见安全漏洞
• SQL Injection(SQL注入) • Cross-Site Scripting (跨站脚本攻击) • Log Forging(日志攻击) • Unrelease Resource(资源泄漏)
• 定义
在输入的字符串之中注入恶意的SQL指令,这些注 入的指令会被数据库误认为是正常的SQL指令进行执行, 使系统遭到破坏。
• Reference
注入原理(1)
SELECT * FROM items WHERE owner = #userName# AND itemname = '$itemName$‘
Ibatis下的SQL注入
对于Ibaits参数引用可以使用#和$两种写法。 (1)#写法会采用预编译方式,将转义交给了数据库,会
自动在参数的外面加上引号,不会出现注入问题。
(2)$写法相当于拼接字符串,会出现注入问题。
解决方案(1)
• 对于所有请求进行入参的过滤
• Reference:
解决方案(2)
正常日志: INFO:Failed to parse val=twenty-one 恶意日志:
若value输入:
twenty-one%0a%0aINFO:+User+logged+out%3dbadguy
输出:
INFO:Failed to parse val=twenty-one INFO:User logged out=badguy
• 示例代码
<% String eid = request.getParameter("eid"); %> Employee ID:<%= eid %>
XSS分类(2)
• Persisted XSS(持久式CSS)
程序将危险数据储存在一个数据库或其他可信赖 的数据存储器中。这些危险数据随后会被回写到应用 程序中,并包含在动态内容中。
Log Forging(日志攻击)
将未经验证的用户输入写入日志文件, 致使攻击者伪造日志条目或将恶意信息 内容注入日志。
示Hale Waihona Puke Baidu代码
String val = request.getParameter("val"); try {
int value = Integer.parseInt(val); }catch (NumberFormatException) {
为它们标记了该属性值的结束。 (4) 对于外加单引号的属性值,单引号(‘’)是特殊字符,因
为它们标记了该属性值的结束。
解决方案(2)
• URL重定向校验
(1)空格符、制表符和换行符标记了 URL 的结束。 (2) "&" 引入一个字符实体 (3)非 ASCII 字符(即 ISO-8859-1 编码表中所有高
• 避免使用 $ 字符拼接变量的情况
select * from t_user where name like ‘%$name$%’;
(1)Oracle select * from t_user where name like '%'||#name #||'%' ; (2)Mysql select * from t_user where name
解决方案
(1)只输出必要的日志,功能上线前删除大多数调试日 志
(2)过滤非法字符
常见安全漏洞
• SQL Injection(SQL注入) • Cross-Site Scripting (跨站脚本攻击) • Log Forging(日志攻击) • Unrelease Resource(资源泄漏)
Unrelease Resource (资源泄漏)
• 使用SQL关键字(AND/OR/DELETE/UPDATE)
itemName = ‘name’ or ‘1’=‘1’ itemName = ‘name’ ;Delete from items
注入原理(2)
• 使用特殊符号(% , --)
itemName = ‘%name%’; itemName = ‘name;delete from items ;--’
• 程序可能无法成功释放某一项已申请的 系统资源。
Cross-Site Scripting (跨站脚本攻击)
攻击者向动态Web页面里插入恶意 HTML代码,当用户浏览页面时,嵌入的 恶意代码被执行从而达到攻击的目的。
XSS分类(1)
• Reflected XSS(反射式XSS)
程序从 HTTP 请求中直接读取数据,并在 HTTP 响应 中返回数据。当攻击者诱使用户为易受攻击的 Web 应用程 序提供危险内容,而这些危险内容随后会反馈给用户并在 Web 浏览器中执行,就会发生反射式 XSS 。
2017-Fortify安全整改解决方案
常见安全漏洞
• SQL Injection(SQL注入) • Cross-Site Scripting (跨站脚本攻击) • Log Forging(日志攻击) • Unrelease Resource(资源泄漏)
SQL Injection (SQL 注入攻击)
• 示例代码:
JAVA代码:String name = dao.queryName(id);
JSP代码:Employee Name:<%= name %>
解决方案(1)
• 入参和出参校验
(1)“< >” 可以引入一个标签或者结束一个标签。 (2) "&" 可以引入一个字符实体。 (3)对于外加双引号的属性值,双引号(””)是特殊字符,因
like concat('%',#name #,'%') ; (3)Mssql
select * from t_user where name like '%'+#name #+'%
常见安全漏洞
• SQL Injection(SQL注入) • Cross-Site Scripting (跨站脚本攻击) • Log Forging(日志攻击) • Unrelease Resource(资源未释放)
于 128 的字符)不允许出现在 URL 中,因此在此上 下文中也被视为特殊字符。 (4)在服务器端对在 HTTP 转义序列中编码的参数进行 解码时,必须过滤掉输入中的 "%" 符号。
常见安全漏洞
• SQL Injection(SQL注入) • Cross-Site Scripting (跨站脚本攻击) • Log Forging(日志攻击) • Unrelease Resource(资源泄漏)
• 定义
在输入的字符串之中注入恶意的SQL指令,这些注 入的指令会被数据库误认为是正常的SQL指令进行执行, 使系统遭到破坏。
• Reference
注入原理(1)
SELECT * FROM items WHERE owner = #userName# AND itemname = '$itemName$‘
Ibatis下的SQL注入
对于Ibaits参数引用可以使用#和$两种写法。 (1)#写法会采用预编译方式,将转义交给了数据库,会
自动在参数的外面加上引号,不会出现注入问题。
(2)$写法相当于拼接字符串,会出现注入问题。
解决方案(1)
• 对于所有请求进行入参的过滤
• Reference:
解决方案(2)