《web应用安全》 输入处理与安全性

web应用的输入处理

web应用中的输入既由HTTP请求传入的信息，如GET,POST,Cookie等，web应用接收到这些值所作的处理。
输入处理就是只对输入值做如下处理：

• 检验字符编码的有效性
• 必要时转换字符编码（指http消息与程序内部使用的字符编码不一致的情况下进行的处理）
• 检验参数字符串的有效性（在页面显示处理函数对字符编码的指定由所疏忽时）

检验字符编码

php中使用 mb_check_encoding函数检验字符串编码

bool mb_check_encoding（string $var，string $encoding)

第一个参数var是检验对象的字符串，第二个参数encoding是字符串，enconding可以省略，省略时函数使用PHP的内部字符编码，如果var字符串的字符编码正确则返回true。

输入校验

输入校验的目的

• 尽早发现输入错误并提示用户重新输入，提高易用性。
• 防止错误处理造成数据不一致等，提高系统可靠性

二进制安全与空字节攻击

二进制安全是指，不管输入值时怎样的字节列都能将其原封不动的进行处理的功能，特别时当包含零值字节（null字节，PhP中记作\0)时也能正确处理。

空字节之所以特殊，是因为在c语言以及Uxinx与windows的API规范中规定了空字节为字符串的结尾，因此在c语言的php以及其它脚本语言中，有些函数不能正确处理空字节，而这类函数就被称为不是二进制安全的函数

ereg检验绕过

php中检验函数为ereg（'^[ 0-9 ]+$',$p)传输方式为get时
我们可以在浏览器执行
?p=1%00<script>alert('xss')</script>

ereg检验被绕过的原因，就是URL中含有%00，%00就是空字节由于ereg不是二进制安全函数，因此，检验对象中如果含有空字节，就会视作字符串的结束。

输入值检验及应用程序规格

检验控制字符

控制字符是指，换行符（CR和LF)和Tab等通常不显示在页面上的。ASCII编码中0x20以下以及0x7F(DELETE)的字符，空字节也是控制字符，
单行的文本输入框中，由于按常规的输入方法无法输入控制字符，因此多数情况下所有的控制字符都会遭到拒绝。textare元素中能够输入换行和Tab，但是否允许Tab则由规格决定。

检验字符数

应用程序的规格文档中应当明确定义所有输入项目的最大字符数，某些情况下，检验最大字符数能使用应用的安全性更为稳固，假设限制字符串的最大长度为10时，就算攻击者在发现了sql注入隐患时，也无法实施攻击。

检验的参数

输入检验的对象为所有参数，hidden参数，单选框，select元素等
cookie中包含会话id以外值的情况下，cookie值也是检验对象，应用中用到了referer等http消息头时也需要进行检验。

php正则表达式库

利用正则表达式能够实现输入检验，可以利用的正则表达式函数有ereg，preg，mb_ereg 3大类，其中ereg不是二进制安全的，因此在php5.3及其以后的版本中已经被废弃。preg仅在字符编码为UTF-8的情况下能正常处理中文字符，而mb_ereg 则适用于大多数字符。