fortify安全整改解决方案-2017.pptx
-
资源ID:61340258
资源大小:171.31KB
全文页数:25页
- 资源格式: PPTX
下载积分:20金币
快捷下载
会员登录下载
微信登录下载
三方登录下载:
微信扫一扫登录
|
友情提示
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
|
fortify安全整改解决方案-2017.pptx
2017-Fortify安全整改解决方案常见安全漏洞SQL Injection(SQL注入)Cross-Site Scripting(跨站脚本攻击)Log Forging(日志攻击)Unrelease Resource(资源泄漏)SQL Injection(SQL 注入攻击)定义在输入的字符串之中注入恶意的SQL指令,这些注入的指令会被数据库误认为是正常的SQL指令进行执行,使系统遭到破坏。Referencehttp:/zh.wikipedia.org/wiki/SQL%E8%B3%87%E6%96%99%E9%9A%B1%E7%A2%BC%E6%94%BB%E6%93%8A注入原理(1)SELECT*FROM items WHERE owner=#userName#AND itemname=$itemName$使用SQL关键字(AND/OR/DELETE/UPDATE)itemName=name or 1=1 itemName=name;Delete from items 注入原理(2)使用特殊符号(%,-)itemName=%name%;itemName=name;delete from items;-Ibatis下的SQL注入对于Ibaits参数引用可以使用#和$两种写法。(1)#写法会采用预编译方式,将转义交给了数据库,会自动在参数的外面加上引号,不会出现注入问题。(2)$写法相当于拼接字符串,会出现注入问题。解决方案(1)对于所有请求进行入参的过滤Reference:http:/ t_user where name like%$name$%;(1)Oracleselect*fromt_userwherenamelike%|#name#|%;(2)Mysqlselect*fromt_userwherename likeconcat(%,#name#,%);(3)Mssqlselect*fromt_userwherenamelike%+#name#+%常见安全漏洞SQL Injection(SQL注入)Cross-Site Scripting(跨站脚本攻击)Log Forging(日志攻击)Unrelease Resource(资源未释放)Cross-Site Scripting(跨站脚本攻击)攻击者向动态Web页面里插入恶意HTML代码,当用户浏览页面时,嵌入的恶意代码被执行从而达到攻击的目的。XSS分类(1)Reflected XSS(反射式XSS)程序从 HTTP 请求中直接读取数据,并在 HTTP 响应中返回数据。当攻击者诱使用户为易受攻击的 Web 应用程序提供危险内容,而这些危险内容随后会反馈给用户并在 Web 浏览器中执行,就会发生反射式 XSS。示例代码 Employee ID:XSS分类(2)Persisted XSS(持久式CSS)程序将危险数据储存在一个数据库或其他可信赖的数据存储器中。这些危险数据随后会被回写到应用程序中,并包含在动态内容中。示例代码:JAVA代码:String name=dao.queryName(id);JSP代码:Employee Name:解决方案(1)入参和出参校验(1)“”可以引入一个标签或者结束一个标签。(2)&可以引入一个字符实体。(3)对于外加双引号的属性值,双引号(”)是特殊字符,因为它们标记了该属性值的结束。(4)对于外加单引号的属性值,单引号()是特殊字符,因为它们标记了该属性值的结束。解决方案(2)URL重定向校验(1)空格符、制表符和换行符标记了 URL 的结束。(2)&引入一个字符实体(3)非 ASCII 字符(即 ISO-8859-1 编码表中所有高于 128 的字符)不允许出现在 URL 中,因此在此上下文中也被视为特殊字符。(4)在服务器端对在 HTTP 转义序列中编码的参数进行解码时,必须过滤掉输入中的%符号。常见安全漏洞SQL Injection(SQL注入)Cross-Site Scripting(跨站脚本攻击)Log Forging(日志攻击)Unrelease Resource(资源泄漏)Log Forging(日志攻击)将未经验证的用户输入写入日志文件,致使攻击者伪造日志条目或将恶意信息内容注入日志。示例代码String val=request.getParameter(val);try int value=Integer.parseInt(val);catch(NumberFormatException)log.info(Failed to parse val=+val);正常日志:INFO:Failed to parse val=twenty-one恶意日志:若value输入:twenty-one%0a%0a%0aINFO:+User+logged+out%3d%3dbadguy输出:INFO:Failed to parse val=twenty-one INFO:User logged out=badguy解决方案(1)只输出必要的日志,功能上线前删除大多数调试日志(2)过滤非法字符常见安全漏洞SQL Injection(SQL注入)Cross-Site Scripting(跨站脚本攻击)Log Forging(日志攻击)Unrelease Resource(资源泄漏)Unrelease Resource(资源泄漏)程序可能无法成功释放某一项已申请的系统资源。如果攻击者能够故意触发资源泄漏,就有可能通过耗尽资源池的方式发起 DOS(Denial Of Service)攻击。资源泄漏分类Unrelease Stream(流资源未释放)Unrelease DB Connection(数据库连接未释放)Unrelease Stream(流资源未释放)try Reader reader=new FileReader(fileName);BufferedReader br=new BufferedReader(reader)catch(Exception e)finally if(br!=null)br.close();/如果抛异常,则br资源无法释放 Unrelease DB Connection(数据库连接未释放)SqlConnection conn=new SqlConnection(connString);SqlCommand cmd=new SqlCommand(queryString);cmd.Connection=conn;conn.Open();SqlDataReader rdr=cmd.ExecuteReader();HarvestResults(rdr);conn.Connection.Close();如果在执行 SQL 或者处理查询结果时发生异常,SqlConnection对象不会被关闭。如果这种情况频繁出现,数据库将用完所有可用的指针,就不能再执行任何 SQL 查询。解决方案(1)关闭时,try/catch异常if(br!=null)try br.close();catch(2)使用工具类关闭工具类:import mons.io.IOUtils JAVA代码:IOUtils.closeQuietly(br)
