一、攻擊者繞過身份驗證的方法?
設想有這樣一個簡單的用戶登錄程序:它通過表單獲取用戶名字和密碼�,然而把這些數據發送到服務器端����,服務器端程序查找數據庫并驗
證用戶身份����。這種用戶身份驗證方法非常常見��。檢查用戶名字和密碼時�,許多開發者使用的是類如下面的代碼:?
<HTML>
<%@language=javascript....%>
<%
if?(isPasswordOK(Request.form("name"),Request.form("pwd")))?{
Response.write("身份驗證通過!");
//?其他操作
}?else?{
Response.write("拒絕訪問!");
}
function?isPasswordOK(strName,?strPwd)?{
var?fAllowLogon?=?false;
try?{
var?oConn?=?new?ActiveXObject("ADODB.Connection");
var?strConnection="Provider=Microsoft.Jet.OLEDB.4.0;Data
Source=c:\\auth\\auth.mdb;"
oConn.Open(strConnection);
var?strSQL?=?"SELECT?count(*)?FROM?client?WHERE?"?+
"(name='"?+?strName?+?"')?"?+?
"?and?"?+
"(pwd='"?+?strPwd?+?"')";
var?oRS?=?new?ActiveXObject("ADODB.RecordSet");
oRS.Open(strSQL,oConn);
fAllowLogon?=?(oRS(0).Value?>?0)???true?:?false;
oRS.Close();
delete?oRS;
oConn.Close();
delete?oConn;
}?catch(e)?{
fAllowLogon?=?false;
}
return?fAllowLogon;
}
%>
</HTML>
注意�,在上面的代碼中,程序從表單數據中提取出用戶名字和密碼�,然后直接傳遞給了進行驗證的函數isPasswordOK���。查詢數據庫的SQL命
令直接利用表單輸入數據構造���,這是一個不安全的過程����。假設用戶名字是“mikey”���,密碼是“&y-)4Hi=Qw8”���,則實際查詢數據庫的SQL命令是
:?
SELECT?count(*)?FROM?client?WHERE?(name='mikey')?and
(pwd='&y-)4Hi=Qw8')
當查詢結果中count(*)返回合適的數值時��,用戶“mikey”的身份驗證通過。如果count(*)返回的結果是0��,則查詢未能找到匹配的記錄��,
用戶被拒絕訪問��。?
那么,攻擊者如何繞過這個驗證過程呢?首先��,攻擊者會假定驗證過程使用上面這種SQL命令進行驗證����,然后他們就發送偽造的用戶名字和
密碼���,改變SQL命令的判斷邏輯�����。例如,如果攻擊者輸入的用戶名字是“x'?or?1)?or?('1”�����,密碼是“anyoldpassword”����,則實際查詢數據庫
的SQL命令將變成:?
SELECT?count(*)?FROM?client?WHERE?(name='x'?or?1)?or?('1')
and?(pwd='anyoldpassword')
可以看出����,這個查詢選出的行數量總是大于或等于1,即count(*)的返回結果總是1或者更大���。由此,雖然攻擊者并不知道合法的用戶名字
和密碼,他總是能夠通過身份驗證���!?
注意下面5點有助于防止攻擊者繞過Web應用的身份驗證過程。?
二、防止錯誤信息泄密?
不要向瀏覽器返回帶有出錯SQL命令的錯誤信息。出現腳本錯誤時�����,默認情況下IIS會返回一個500-100錯誤信息�����。事實上�����,返回不帶調試信
息的錯誤信息更有利于安全。例如,當我們在登錄表單輸入偽造的用戶名字和密碼時���,服務器返回的錯誤信息可能如下:?
Error?Type:
Microsoft?JET?Database?Engine?(0x80040E14)
Syntax?error?(missing?operator)?in?query?expression?
'(name='x'?or?1)?or?('1')?and?(pwd=''p')'.
/login.asp,?line?24
可以看到,錯誤信息中包含了部分SQL命令����,它會幫助攻擊者改正原先的錯誤�,為攻擊者快速構造出雖然偽造��、但在SQL命令中合法的用戶
名字和密碼帶來了方便�。?
要減少服務器返回的錯誤信息量����,最簡單的方法是修改%winnt%\help\iisHelp\500-100.asp�����;或者創建一個新的文件�����,同時設置IIS,使得
500.100錯誤出現時服務器返回這個新的文件�。設置IIS服務器的步驟如下:?
1.打開IIS管理工具?
2.右擊要設置的Web服務器?
3.選擇“屬性”?
4.選擇定制錯誤的選項卡?
5.輸入定制的500.100錯誤頁面文件的名字?
對于安全來說���,錯誤信息中最好永遠不要出現服務器上的物理路徑�。例如�����,返回“不能在c:\wwwroot\secretlocation目錄下找到foo.doc
文件”這種錯誤信息并不有利于安全�,一個簡單的404提示已經足夠了�����。?
三��、確定合法性規則?
利用VBscript....����、Jscript....以及Perl語言的正則表達式�����,我們可以為用戶輸入數據定義合法性規則。不要去分析哪些輸入數據非法���,因為攻擊
者會找出繞過非法數據檢查規則的辦法。例如��,假設為了防止用戶向網站發送HTML數據�,我們要替換輸入數據中的“<”和“>”符號:?
strInput?=?strInput.replace(/[<>]/,"");?
上面這個語句把“<”和“>”符號替換成空字符串。那么��,是否這樣一來攻擊者所發送的HTML就不能再發送到服務器上了呢�?答案是否定
的。攻擊者只需把“<”和“>”替換為相應的HTML實體符號��,上述分析用戶輸入的代碼就不能再找出HTML����。由此我們認識到,正確的方法應該
是先確定什么是合法的�,然后驗證用戶輸入的合法性��,拒絕所有不符合合法性規則的輸入:?
if?(strName.search(/[^A-Za-z?0-9]/)?!=?-1)?return?false;?
這行代碼搜索strName,如果strName包含除了大寫字母�����、小寫字母��、數字和空白字符之外的(這就是^的含義)字符����,則輸入數據被拒絕����。?
進行輸入檢驗時還要注意偽造的文件名字。攻擊者可能嘗試把數據發送到某些敏感的位置�,或者可能發出請求試圖得到源文件���,等等�。下
面這個正則表達式對文件名字作嚴格的限制�。合法文件名字的規則描述如下:?
●一個或者多個0-9a-zA-Z或_,再加上?
●一個或者多個0-9a-zA-Z���、-����、\、/和_,再加上?
●一個句點��,再加上?
●’’��、’txt’�����、’jpg’、’jpeg’、’gif’、’htm’���、’html’、’png’����、’bmp’或’zip’?
所有不符合上述規則的文件名字都非法�����。這個文件名字規則非常嚴格,但確實有效��。你可以看到�����,文件名字不能以斜杠開頭���,因為斜杠是
磁盤的根目錄����。除了攻擊者之外�,另外還有誰需要從磁盤的根目錄開始訪問呢?所有對文件的訪問都應該相對于Web網站的根進行:?
var?strInput?=?Request.form("filename");?
var?re?=?/^[\w]{1,}[\w\-\/\\]{1,}\.(txt|jpg|jpeg|gif|htm|html|png|bmp|zip)?
{0,1}$/i;?
var?fIsFilenameValid?=?(re.test(strInput))???true?:?false;?
四、正確處理引號?
引號有時候很難處理,因為它們會干擾SQL命令�。如本文開頭的例子���,攻擊者利用引號改變SQL命令的邏輯���,使得不具備合法用戶名字和密
碼的人也能夠登錄系統����。防止利用引號攻擊的另外一種方法是事先轉義引號字符�����。下面這個正則表達式將把所有單引號和雙引號分別替換為兩
個單引號和兩個雙引號�����。替換得到的SQL命令完全合乎SQL語法,而且它使得許多攻擊更難進行。?
strPwd?=?strPwd.replace(/([\’\"])/g,"$1$1");?
這個語句可以替換前面加上的正則表達式��。但也可以兩者一起使用��,加強防衛力量��!?
五、檢查SQL查詢返回的數據?
一種完全防止這類攻擊的方法是停止使用只能表示“贊成、反對”的count(*),改為檢查用戶名字�����、密碼是否和SQL命令返回的用戶名字��、
密碼匹配��。具體代碼如下所示:?
var?strSQL?=?"SELECT?name,?pwd?FROM?client?WHERE?"?+?
"(name=’"?+?strName?+?"’)?"?+?
"?and?"?+?
"(pwd=’"?+?strPwd?+?"’)";?
var?oRS?=?new?ActiveXObject("ADODB.RecordSet");?
oRS.Open(strSQL,oConn);?
fAllowLogon?=?(oRS(0).Value?==?strName?&&?oRS(1).Value?==?strPwd)?
??true?:?false;?
如果SQL查詢沒有返回數據�����,程序將觸發一個異常����,隨后這個異常就被catch()捕獲���。?
六�、禁用父路徑?
確保文件名字中沒有出現“..”。按照如下步驟禁用父路徑:?
右擊Web網站的根�����,從菜單選擇“屬性”�����。?
●選擇“主目錄”選項卡���。?
●點擊“配置”��。?
●點擊“應用程序選項”。?
●取消“啟用父路徑”��。?
如果要從命令行禁用父路徑�,請執行如下命令:?
cscript....?adsutil.vbs?set?w3svc/1/root/AspEnableParentPaths?false?
要真正做到對輸入攻擊的全面防范,你必須有一切輸入數據都可能有危險的心理準備��。檢查合法的輸入�����,而不是檢查不合法的輸入��,因為
攻擊者很快就可以找出突破不合法規則的辦法��。同時�,學習并正確地運用正則表達式。記住了這幾點��,你就能夠大大減少Web應用被侵入的機會���。?