fortify安全整改解决方案-2017.pptx

《fortify安全整改解决方案-2017.pptx》由会员分享，可在线阅读，更多相关《fortify安全整改解决方案-2017.pptx（25页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2017-Fortify安全整改解决方案常见安全漏洞SQL Injection（SQL注入）Cross-Site Scripting(跨站脚本攻击)Log Forging(日志攻击)Unrelease Resource(资源泄漏)SQL Injection（SQL 注入攻击）定义在输入的字符串之中注入恶意的SQL指令，这些注入的指令会被数据库误认为是正常的SQL指令进行执行，使系统遭到破坏。Referencehttp:/zh.wikipedia.org/wiki/SQL%E8%B3%87%E6%96%99%E9%9A%B1%E7%A2%BC%E6%94%BB%E6%93%8A注入原理(1)SE

2、LECT*FROM items WHERE owner=#userName#AND itemname=$itemName$使用SQL关键字(AND/OR/DELETE/UPDATE)itemName=name or 1=1 itemName=name;Delete from items 注入原理（2）使用特殊符号（%,-）itemName=%name%;itemName=name;delete from items;-Ibatis下的SQL注入对于Ibaits参数引用可以使用#和$两种写法。(1)#写法会采用预编译方式，将转义交给了数据库，会自动在参数的外面加上引号，不会出现注入问题。(2)$

3、写法相当于拼接字符串，会出现注入问题。解决方案（1）对于所有请求进行入参的过滤Reference:http:/ t_user where name like%$name$%;（1）Oracleselect*fromt_userwherenamelike%|#name#|%;（2）Mysqlselect*fromt_userwherename likeconcat(%,#name#,%);（3）Mssqlselect*fromt_userwherenamelike%+#name#+%常见安全漏洞SQL Injection（SQL注入）Cross-Site Scripting(跨站脚本攻击)Log

4、 Forging(日志攻击)Unrelease Resource(资源未释放)Cross-Site Scripting(跨站脚本攻击)攻击者向动态Web页面里插入恶意HTML代码，当用户浏览页面时，嵌入的恶意代码被执行从而达到攻击的目的。XSS分类（1）Reflected XSS(反射式XSS)程序从 HTTP 请求中直接读取数据，并在 HTTP 响应中返回数据。当攻击者诱使用户为易受攻击的 Web 应用程序提供危险内容，而这些危险内容随后会反馈给用户并在 Web 浏览器中执行，就会发生反射式 XSS。示例代码 Employee ID:XSS分类（2）Persisted XSS(持久式CSS)

5、程序将危险数据储存在一个数据库或其他可信赖的数据存储器中。这些危险数据随后会被回写到应用程序中，并包含在动态内容中。示例代码：JAVA代码：String name=dao.queryName(id);JSP代码：Employee Name:解决方案（1）入参和出参校验(1)“”可以引入一个标签或者结束一个标签。(2)&可以引入一个字符实体。(3)对于外加双引号的属性值，双引号(”)是特殊字符，因为它们标记了该属性值的结束。(4)对于外加单引号的属性值，单引号()是特殊字符，因为它们标记了该属性值的结束。解决方案（2）URL重定向校验（1）空格符、制表符和换行符标记了 URL 的结束。（2）&引

6、入一个字符实体（3）非 ASCII 字符（即 ISO-8859-1 编码表中所有高于 128 的字符）不允许出现在 URL 中，因此在此上下文中也被视为特殊字符。（4）在服务器端对在 HTTP 转义序列中编码的参数进行解码时，必须过滤掉输入中的%符号。常见安全漏洞SQL Injection（SQL注入）Cross-Site Scripting(跨站脚本攻击)Log Forging(日志攻击)Unrelease Resource(资源泄漏)Log Forging（日志攻击）将未经验证的用户输入写入日志文件，致使攻击者伪造日志条目或将恶意信息内容注入日志。示例代码String val=reques

7、t.getParameter(val);try int value=Integer.parseInt(val);catch(NumberFormatException)log.info(Failed to parse val=+val);正常日志：INFO:Failed to parse val=twenty-one恶意日志：若value输入：twenty-one%0a%0a%0aINFO:+User+logged+out%3d%3dbadguy输出：INFO:Failed to parse val=twenty-one INFO:User logged out=badguy解决方案（1）只输

8、出必要的日志，功能上线前删除大多数调试日志（2）过滤非法字符常见安全漏洞SQL Injection（SQL注入）Cross-Site Scripting(跨站脚本攻击)Log Forging(日志攻击)Unrelease Resource(资源泄漏)Unrelease Resource(资源泄漏)程序可能无法成功释放某一项已申请的系统资源。如果攻击者能够故意触发资源泄漏，就有可能通过耗尽资源池的方式发起 DOS(Denial Of Service)攻击。资源泄漏分类Unrelease Stream(流资源未释放)Unrelease DB Connection（数据库连接未释放）Unreleas

9、e Stream(流资源未释放)try Reader reader=new FileReader(fileName);BufferedReader br=new BufferedReader(reader）catch(Exception e)finally if(br!=null)br.close();/如果抛异常，则br资源无法释放 Unrelease DB Connection（数据库连接未释放）SqlConnection conn=new SqlConnection(connString);SqlCommand cmd=new SqlCommand(queryString);cmd.Co

10、nnection=conn;conn.Open();SqlDataReader rdr=cmd.ExecuteReader();HarvestResults(rdr);conn.Connection.Close();如果在执行 SQL 或者处理查询结果时发生异常，SqlConnection对象不会被关闭。如果这种情况频繁出现，数据库将用完所有可用的指针，就不能再执行任何 SQL 查询。解决方案（1）关闭时，try/catch异常if(br!=null)try br.close();catch（2）使用工具类关闭工具类：import mons.io.IOUtils JAVA代码：IOUtils.closeQuietly(br)