Web框架安全

最新推荐文章于 2022-10-15 15:48:59 发布
最新推荐文章于 2022-10-15 15:48:59 发布
阅读量352 收藏
点赞数
分类专栏: Web Security 文章标签: web框架 安全 XSS CSRF SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40270125/article/details/104122711
版权

模板引擎与XSS防御

XSS攻击是在用户的浏览器上执行的,其形成过程则是在服务器端页面渲染时,注入了恶意的HTML代码导致的。从MVC架构来说,是发生在View层,因此使用“输出编码”的防御方法更加合理,这意味着需要针对不同上下文的XSS攻击场景,使用不同的编码方式。

“输出编码”的防御方法有以下几种:

  • 在HTML标签中输出变量
  • 在HTML属性中输出变量
  • 在script标签中输出变量
  • 在事件中输出变量
  • 在CSS中输出变量
  • 在URL中输出变量

针对不同的情况,使用不同的编码函数。那么现在流行的MVC框架是否符合这样的设计呢?答案是否定的。

在当前流行的MVC框架中,View层常用的技术是使用模板引擎对页面进行渲染,模板引擎本身可能会提供一些编码方法,比如,Django Templetes中,使用filters中的escape作为HtmlEncode的方法:

<h1>Hello, {{name|escape}}!</h1>

最好的XSS防御方案,在不同的场景需要使用不同的编码函数,如果统一使用者5个字符的HtmlEncode,则很有可能被攻击者绕过。在模板引擎中,可以实现自定义的编码函数,应用于不同场景。在Django中是使用自定义filters,在Velocity中则可以使用“宏”(velocimacro)。

 

 

Web框架与CSRF防御

CSRF攻击的目标,一般都会产生“写数据”操作的URL,比如“增”、“删”、“改”;而“读数据”操作并不是CSRF攻击的目标,因为在CSRF的攻击过程中攻击者无法获取到服务器端返回的数据,攻击者只是借用用户之手触发服务器动作,所以读取数据对于CSRF来说并无直接的意义。

因此,在Web应用开发中,有必要对“读操作”和“写操作”予以区分,比如要求所有“写操作”都使用HTTP POST。但实际上POST本身并不足以对抗CSRF,因为POST也是可以自动提交的。但是POST的使用,对于保护token有着积极的意义,而security token的私密性(不可预测性原则),是防御CSRF攻击的基础。

对于Web框架来说,可以自动地在所有涉及POST的代码中添加token,这些地方包括所有的form表单、所有的Ajax POST请求等。

完整的CSRF防御方案,对于Web框架来说有以下几点地方需要改动。

  1. 在Session中绑定token。如果不能保存到服务器Session中,则可以代替为保存到Cookie中。
  2. 在form表单中自动填入token字段,比如 <input type=hidden name="anti_csrf_token" value="$token"/>。
  3. 在Ajax请求中自动添加token,这可能需要已有的Ajax封装实现的支持。
  4. 在服务器端对比POST提交参数的token与Session中绑定的token是否一致,以验证CSRF攻击。

 

 

HTTP Headers管理

在Web框架中,可以对HTTP头进行全局化的处理,因此一些基于HTTP头的安全方案可以很好地实施。

比如针对HTTP返回头的CRLF注入,因为HTTP实际上可以看成是key-value对,比如:

Location: http://www.a.com
Host: 127.0.0.1

因此对抗CRLF的方案只需要在”value“中编码所有的\r\n即可。这里没有提到在”key"中编码\r\n,是因为让用户能够控制“key”是极其危险的事情,在任何情况下都不应该使其发生。

类似的,针对30X返回的HTTP Response,浏览器将会跳转到Location指定的URL,攻击者往往利用此类功能实施钓鱼或诈骗。

HTTP/1.1 302 Moved Temporarily
(...)
Location: http://www.phishing.tld

因此,对于框架来说,管理好跳转目的地址时很有必要的。一般来说,可以在两个地方做这件事:

  1. 如果Web框架提供统一的跳转函数,则可以在跳转函数内部实现一个白名单,指定跳转地址只能在白名单中;
  2. 另一个解决方式是控制HTTP的Location字段,限制Location的值只能是哪些地址,也能起到同样的效果,其本质还是白名单。

有很多与安全相关的Headers,也可以统一在Web框架中配置,比如:用来对抗ClickJacking的X-Frame-Option,Cookie的HttpOnly Flag。

 

 

数据持久层与SQL注入

使用ORM框架对SQL注入是有积极意义的。我们都知道对抗SQL注入的最佳方式就是使用“预编译绑定变量”。在实际解决SQL注入时,还有一个难点就是益康源复杂后,代码数量庞大,难以把可能存在SQL注入的地方不遗漏地找出来,而ORM框架为我们发现问题提供了一个便捷的途径。

以ORM框架ibatis举例,它是基于sqlmap的,生成的SQL语句都结构化地写在XML文件中。ibatis支持动态SQL,可以在SQL语句中插入动态变量:$value$,如果用户能够控制这个变量,则会存在一个SQL注入的漏洞。

而静态变量 #value# 则是安全的,因此在使用ibatis时,只需要搜索所有的sqlmap文件中是否包含动态变量即可。当业务需要使用动态SQL时,可以作为特例处理,比如在上层的代码逻辑中针对该变量进行严格的控制,以保证不会发生注入问题。

 

公羽龙天
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《白帽子讲Web安全》12-Web框架安全
CD的博客
03-30 1007
总的来说,实施安全方案,要达到好的效果,必须要完成两个目标: - 安全方案正确、可靠 - 能够发现所有可能存在的安全问题,不出现遗漏12.1 MVC框架安全
Web框架自身安全
云计算?
04-09 87
Web框架自身安全 下面讲到的几个漏洞,都是一些流行的Web开发框架曾经出现过的严重漏洞。研究这些案例,可以帮助我们更好地理解框架安全,在使用开发框架时更加的小心,同时让我们不要迷信于开发框架的权威。 Struts 2命令执行漏洞 2010年7月9日,安全研究者公布了Struts 2一个远程执行代码的漏洞(CVE-2010-1870),严格来说,这其实是XWork的漏洞,因为Struts ...
web框架安全概览--你所使用的web框架是否安全
qq_43571759的博客
05-12 671
web框架安全安全–>安全框架–>框架安全–>不安全 文章目录web框架安全MVC框架实现安全方案模板引擎与XSS防御web框架CSRF防御HTTP Headers管理数据持久层与SQL注入web框架自身安全struts2命令执行漏洞spring MVC命令执行Django命令执行漏洞shiro反序列化漏洞thinkphp命令执行 MVC框架实现安全方案 mvc框架web应用分为三层即 view层----负责用户试图、页面暂时等 controller层----负责应用的逻辑是西安,
Web框架安全漏洞的测试反思
weixin_34297704的博客
10-18 230
此文已由作者王婷英授权网易云社区发布。欢迎访问网易云社区,了解更多网易技术产品运营经验。在平时的测试中,一般情况下,我们都是比较关注功能业务测试,以及对应的接口测试,很少去关注对应的业务设计上存在的安全漏洞测试分析。随着行业对安全的要求越来越高,同时我们电商是经常在网络上发生交易操作的网站,更是要关注安全测试相关的测试场景的考虑。之所以来编写这篇web的里的安全测试的文章,主要是在平时的测试过程中...
web开发安全框架中的Apache Shiro的应用
shuyun008的博客
11-08 128
web开发安全框架中的Apache Shiro的应用 前阶段就hadoop的分享了一些内容,希望对新手入门的朋友有点帮助吧!对于hadoop新手入门的,还是比较推荐大快搜索的DKHadoop发行版,三节点标准版还是值得拥有的(三节点的标准版是可以免费下载的,与付费版的目前功能一样,只是节点数量不同,对于新手而言三节点的够用了)。正在学习hadoop可以下载一下研究学习之用,也可以留言向我索要! ...
web框架安全.pdf
03-30
web框架介绍,不同web框架安全特质,框架漏洞静态分析方法,框架漏洞动态分析方法,自动fuzzing人工检测等
应用WEB框架模块设计
最新发布
10-05
路由是WEB框架的引路人徐庶,负责引导请求到达正确的控制层。路由模块对系统的迁移升级和适应业务扩展起到关键作用。但是,这里也是经常是因为变更而导致线上故障问题点。 控制层(Controler) 控制层是掌柜曹操,...
面向Web服务多层安全框架的构建
06-03
设计了面向Web服务多层安全框架,将整体安全框架分为信任入口层、业务处理安全层、Web服务目录及注册安全层、通信安全层4个层次;在业务处理安全层中组合Web服务的过程中,引入Web服务安全预处理模块,选择最佳服务组合,...
Web安全框架与标准
06-19
里面有OWASP中top10中A1-A10的详细解释 A1:注入攻击漏洞,如SQL、OS 、LDAP注入等,最常见的如SQL注入漏洞 攻击者将不可信的数据作为命令或者查询...以此类推,通过本文档你可以对web注入有一个概要了解,开了一个好头
jspweb框架
11-20
**JSPWeb框架详解** JSP(JavaServer Pages)是一种基于Java的技术,用于创建动态网页。它允许开发者在HTML页面中嵌入Java代码,从而实现服务器端的数据处理和逻辑控制。JSPWeb框架是为了简化JSP开发过程而设计的,...
Web开发框架安全杂谈(转载)
justforme123的专栏
03-20 176
转自:http://www.80sec.com/security-about-framework.html Web开发框架安全杂谈 Write by admin in 未分类 at 2011-03-15 22:21:03 Web开发框架安全杂谈 EMail: wofeiwo#80sec.com Site: http://www.80sec.com Date: 2011-03-14...
Web架构安全分析
R641295447的博客
07-21 174
Web架构原理 用户使用通用的Web浏览器,通过接入网络连接到Web服务器上。用户发出请求,服务器根据请求的URL的地址连接,找到对应的网页文件,发送给用户,两者对话的“官方语言”是Http。网页文件是用文本描述的,HTML格式,在用户浏览器中有个解释器,把这些文本描述的页面恢复成图文并茂、有声有影的可视页面。 ...
「第十二章」Web框架安全
hacckjacking
03-26 555
「第三篇」服务器端应用安全 批注 [……] 表示他人、自己、网络批注 参考资料来源于 * 书中批注 * CSDN * GitHub * Google * 维基百科 * YouTube * MDN Web Docs 由于编写过程中无法记录所有的URL 所以如需原文,请自行查询 {……} 重点内容 *……* 表示先前提到的内容,不赘述 「第三篇」服务器端应用安全 「0.6本书结构」 就常见的服务器端应用安全问题.
《白帽子讲Web安全》| 学习笔记之Web框架安全
qq_42646885的博客
07-12 6007
第12章 Web框架安全 1、MVC框架安全 MVC是Model-View-Controller的缩写。它将web应用分为三层,View层负责用户视图、页面展示等工作,Controller负责应用的逻辑实现,接收View层传入的用户请求,并转发给对应的Model做处理;Model层则负责实现模型,完成数据的处理。 在Spring框架中可以使用spring security来增加系统的安...
web安全-web渗透框架
Coisini的博客
05-27 574
Web安全Web框架组成和各部分作用(持续更新)
weixin_44431280的博客
02-03 2214
Web框架组成和各部分作用: 提要:了解Web框架的组成和作用有助于了解学习Web安全漏洞的原理和通信过程。 一:Web框架组成 1,显示层(浏览器,前端语言) 作用:解析前端语言显示和展示给用户想看到的内容。 2,业务逻辑层(后端脚本语言,操作系统,Web容器) 作用:逻辑,解析用户请求,加载并执行脚本语言。 3,数据访问层(数据库) **作用:**数据存储和执行SQL语句。 Web访问流程(使用靶场XSS-LABS举例): 第1步:Web浏览器输入目标网站的URL(请求URL中的文件level等),浏
web安全-XSS利用架构图
Coisini的博客
05-27 252
安全框架Shiro
qq_42394862的博客
10-15 558
Shiro
web安全XSS攻击原理及防范
weixin_43964148的博客
06-22 2722
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nHwrCkXL-1592795850369)(https://static01.imgkr.com/temp/e31bf9555c2e44eeb535ca5ad63dda63.png)] 一:什么是XSS攻击? XSS 即(Cross Site Scripting)中文名称为:跨站脚本攻击。XSS的重点不在于跨站点,而在于脚本的执行。那么XSS的原理是: 恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值