WEB应用安全与威胁话题讨论 你了解的注入有哪些它们有什么危害（获奖名单已公布2-26）

arron刘

获奖名单已公布，详情请看：http://bbs.chinaunix.net/thread-4068979-1-1.html

如果你要了解应用安全，请看OWASP；
如果你要了解OWASP，请看OWASP Top 10；
如果你要了解OWASP Top 10，请看《Web应用安全威胁与防治——基于OWASP Top 10与ESAPI》。
它以浅显的故事，详实的理论，易懂的代码，带你去遨游应用安全的世界。
读罢，让我们忽然明白，搞应用安全，原来可以这么简单。

本期讨论话题：

1.你了解的注入有哪些？ 它们有什么危害？
2.如何有效地预防XSS？
3. URL中直接引用对象，如何处理授权问题？
4.越权有哪几类？如何有效地做好访问控制？

活动须知：

《Web应用安全威胁与防治》一书作者王文君（ID: sanderwang）、李建蒙(ID：jianmeng_jimmy)两位老师也会参与到讨论中，大家有任何关于Web安全的问题可以提出来，届时两位老师会给予解答。


活动时间：2013-1-16——2013-2-17


活动奖品：针对以上任意问题跟帖回答，我们会在讨论结束后，择优挑选5名网友赠送《Web应用安全威胁与防治——基于OWASP Top 10与ESAPI 》这本书作为奖励。

DiDeCrouse

很多web应用的安全问题来自于服务端对客户端的“信任”，服务端接收了来自客户端的数据（有可能包含恶意代码），而服务端“完全信任”客户端，并没有做相应的输入校验，以及最终的输出编码，就可能导致SQL注入和XSS问题。
因此，有效预防SQL注入和XSS的方法就是：输入校验和输出编码。
即所有允许用户输入的地方都执行数据校验，比如输入电话号码的地方就只能允许输入0-9的数字，并且根据实际情况，设定长度范围，其他输入都不允许；输出编码就是服务端在将数据返回客户端之前进行数据编码，过滤所有可能引发XSS的字符；
如果开发人员在开发代码阶段切实保证输入校验和输出编码，即可有效避免SQL注入和XSS。

dinglang_2009

1.一般我们所说的注入，主要分为“Sql注入”和"XSS"(跨站脚本攻击)
2.如何有效的防止XSS？这可能不是几句话就能说清楚的啦！因为细分起来，XSS攻击的类型和手段又分很多种，还有一些暂时没有暴露及等待挖掘的。
挑最常见的说，首先我们应该知道XSS的常见攻击手段和类型，才能知道如何防御。
1） 表单提交时  未过滤敏感信息     例如：我在提交表单后，在文本字段中保存一段<script>alert...</script>，然后直接响应给浏览器显示。
      这种通常被称为”保存型XSS“
      防范手段：表单提交时候  严格过滤   页面部分动态显示内容时候  也需要过滤   尤其是门户网站  新闻/文章发布系统等
2） URL传参时候  未过滤敏感信息  例如：http://wwww.dinglang.com/error.php?message=<script>alert('xss'）;</script>
      这种通常被称为”反射型XSS“
      防范手段：同样需要过滤URL中的敏感字符   大多数情况  其实我都不建议url明文传参的   这会让人感觉“有机可乘”。有心者看到"?message=..."，就能大致猜出这个参数是干嘛的，可以采用URL编码这种比较通用的方式 ，  不一定能完全阻止   但至少能不那么直白吧。

上面所说的这两种  是最简单也是最SB的XSS攻击手段   可能现在大部分的网站都注意到这些了  不会犯如此低级的错误了   
也可能有人会想：“那有什么危险的？大不了让他在自己的浏览器端多alert几下，毕竟这XSS又不会像sql注入那样危害到我们服务器端的安全”。
无利不起早，很少有人会那么无聊，捣腾你的网站，并不只是为了在你网站上搞几个alert弹框玩。
再仔细想想   是否可以利用这个漏洞来做 “DOM操作  Cookie操作  伪造表单信息 发送http请求..." ？当然，可能没那么顺利，但不是没可能。

dinglang_2009

我好像扯得有点远了  歇会儿再说

dinglang_2009

3.  URL中直接引用对象  这里的“对象”是指文件、目录、数据库记录等内部实施的对象，在应用程序将URL（或表单参数）中的一个引用暴露给这些对象之一时，就会发生安全问题。可以通过以下手段来防范，简单描述一下
   
   1）尽可能避免将私密的对象引用暴露给用户，如重要的关键字或文件名。

   2）运用一种“可接受的良好方法”，详细地验证任何私密的对象引用。决定准许用户访问哪些文件，并仅授与这些用户访问这些文件的权力。

   3）对所有引用的对象都要进行验证。

dinglang_2009

4.越权有哪几类？？？
   你上面说的”越权“   不知道是不是指的”提权“     要说到”提权、渗透“等   我在中学时代倒是玩过一些”黑客工具“
  不过基于web的服务器提权，可能难度会大一些，不像以前随便搞个”上传漏洞“，挂个大马就能”开后门“了。
记得windows 2000的时候  可以轻松的利用输入法提权  最近windows 8上也爆出了漏洞   可以利用”QQ输入法提权“  

action08

回复 6# dinglang_2009

最近windows 8上也爆出了漏洞   可以利用”QQ输入法提权“  这个是谁的问题？？？win8 or qqpy
   

dinglang_2009

回复 7# action08

一个巴掌拍不响啊  


   

fengyun530

1.你了解的注入有哪些？ 它们有什么危害？

注入包括数据SQL注入、URL地址注入等，但是实质是类似的，最常见的就是好多年以前的“1 or 1".它能绕过密码验证。本人用这个渗透过不少安全防范低的网站后台，如果服务器权限设置不当，还能获取权限摧毁它的电脑也不是问题，不过从没有干过这种坏事。当然今天的很多WEB站点都是用开源系统做的二次开发，技术独立开发的，也基本很少犯这种低级错误了。

2.如何有效地预防XSS？

XSS也是注入的一种。防范方法是在用户输入处，对用户输入的数据进行脚本过滤，原则和普通SQL注入道理一样，永远不要相信第三方（指的就是网站访问用户）提交的数据，这样才能保证网站的数据过滤方面的安全。

3. URL中直接引用对象，如何处理授权问题？

URL中如果一定要直接引用对象暴露给用户，那么也一定要加权限或者用户SESSION验证。这点目前的大部分开源系统都做得很好。你可以拿个后台数据获取的脚本文件试试，想直接获取其他信息，返回的信息要嘛报黑客攻击，要嘛什么结果都不反馈给你！原因是这些查询重要参数的脚本文件都进行了权限验证。

4.越权有哪几类？如何有效地做好访问控制？

在WEB上，按照我个人的理解，网站的越权就是通过一种类似URL直接对象引用的方式。一个用户去试图越权获取另外一个用户的信息。 还有就是服务器用户试图通过越权获得信息等。

访问控制方面应该包括，及时做好系统补丁修复，对重要参数脚本文件做严格的权限限制和数据过滤等。

action08

回复 8# dinglang_2009


    有没有相关的细节哈