如何消除网站安全的七大风险(2)

　　改善

　　name=”allowScriptAccess” value=”always” />

　　改为

　　name=”allowScriptAccess” value=“sameDomain” />

　　问题5：网站后台管理通过不安全链接实施

　　风险：管理访问没有强制实施SSL，这可能允许攻击者监视并修改用户和服务器之间的发送的包括账户凭据在内的所有数据。如果攻击者通过代理或者路由软件拦截服务器和管理员间的通信，敏感数据可能被截获，进而管理员账户可能会受到危害。

　　分析：管理访问没有强制实施SSL，为防止数据拦截，管理访问应该强制执行HTTPS (SSL3.0)。

　　改善：运维对服务器进行了配置调整，单独配置支持了SSL3.0访问管理后台。

　　问题6：验证环节可以被绕过

　　风险：用户发布信息时，虽然有页面的验证码防止自动恶意发布，但仍可能被绕过进行自动提交。绕过的方式之一是使用过滤和识别软件，之二是可以利用Cookie或Session信息绕过验证码。

　　分析：图像失真机制本身不是特别强，可以很容易地使用公开的过滤和识别软件来识别。生成的图片也是可以预测的，因为使用的字符集很简单(只是数字)，建议实现一个更强大的验证码系统。

　　Cookie或session信息处理有漏洞导致验证码被绕过, 确保每一个链接只能取得唯一的验证码，并确保每个请求产生并需要一个新的验证码。

　　改善：根据需要增加验证码的复杂度，而不只是单数字。

　　经过分析发现是因为验证码被存入了Session里，而开发人员忘记在提交之后清空Session中的验证码的值，导致验证码在过期时间内一直可用，从而可能被利用多次提交。因此在提交后追加了及时清空验证码的操作。

　　问题7：泄露敏感信息

　　风险：此信息只能用于协助利用其他漏洞，并不能直接用来破坏应用程序。网站的robots.txt文件里可以获得敏感目录的信息，这可能允许攻击者获得有关应用程序内部的其他信息，这些信息可能被用来攻击其他漏洞。

　　分析：robots.txt不应在提供管理界面的信息。如果robots.txt文件暴露了Web站点结构，则需要将敏感内容移至隔离位置，以避免搜索引擎机器人搜索到此内容。

　　改善：当然robots.txt要根据SEO的要求来处理，但也要同样注意安全性。如：disallow:/testadmin/，其中testadmin为管理后台，就被暴露了。可以根据实际情况是否必要决定删除robots.txt文件或者把敏感目录单独配置禁止搜索引擎搜索。

　　其他问题汇总

　　除此以外，还有很多其他危害性相对较低的问题，分析如下。

　　问题：可能通过登录页面枚举出用户名，因为根据账户是否存在的错误信息是不同的。

　　对策：修改错误信息使之不带有提示性，如“您输入的邮箱或密码不对!” 并且超过一定次数则对该IP进行锁定。

　　问题：检测到可能泄露敏感信息或被恶意利用的冗余文件，如测试文件、bak文件、临时文件。

　　对策：除去服务器中的相应文件。

　　问题：发现潜在机密信息，如名为order的文件很容易被联想到用户订单。

　　对策：避免在文件名中含有完整的敏感词汇或不要在容易猜测到的文件中保存敏感信息，或者限制对它们的访问。

　　问题：发现内部信息泄露。

　　对策：除去代码中漏删的内部IP地址，内部组织，人员相关信息等。

　　共性原因分析

　　在发现的问题中，71%是与应用程序相关的安全性问题。可以修改应用程序相关的安全性问题，因为它们是由应用程序代码中的缺陷造成的。29%是基础结构和平台安全性问题，可以由系统或网络管理员来修订“基础结构和平台安全性问题”，因为这些安全性问题是由第三方产品中的错误配置或缺陷造成的。

　　综合主要的原因包括但不限于以下三个方面。

　　程序方面

　　未对用户输入正确执行危险字符清理;

　　Cookie和Session使用时安全性考虑不足;

　　HTML注释中或Hidden form包含敏感信息;

　　提供给用户的错误信息包含敏感信息;

　　程序员在 Web 页面上的调试信息等没有及时删除。

　　Web 应用程序编程或配置不安全;

　　配置方面

　　在Web目录中留下的冗余文件没有及时清理;

　　Web服务器或应用程序服务器是以不安全的方式配置的。

　　安全规范文档不够完善，开发人员的培训不足;

　　开发人员的安全相关经验和安全意识不足。

　　对于这些问题的解决方法-——技术之外

　　对于安全问题本身的解决可能只能case by case ，但为了预防更多潜在问题的引入，技术之外方面的改善也不容忽视：

　　1. 对于开发人员在项目初期即进行安全开发的培训，强化安全意识。

　　2. 建立用于共享安全经验的平台，将经验形成Checklist作为安全指南文档。

　　3. 将成熟的代码成果提炼出公共安全模块以备后用。

　　本次改善之后总结出一些常用基本安全原则供大家参考，见“非官方不完整网站开发安全原则”。

作者简介：晁晓娟，目前在互联网公司负责项目管理。InfoQ中文站SOA社区编辑，有多年的Web开发管理经验，关注项目管理、架构和产品。

　　(本文来自《程序员》杂志10年02期)