网站安全是构建网站时必须要考虑的一个因素,网站安全的重点在于服务器的安全配置管理以及程序脚本的完善性。当然如果服务器的账号和权限由于管理不善而泄露了,即使技术上网站系统再安全,也不可避免会受到攻击。
我参与的项目是LNMP架构的,主要谈谈自己工作中需要注意的安全问题和常规的规避方法。
SQL注入漏洞
SQL注入问题比较常规,但确实大部分网站中容易存在的网络安全漏洞。SQL注入的原理是用户通过非正常输入(修改URL或者表单数据)把恶意的 SQL 命令插入到 Web 表单让服务器执行,最终达到欺骗服务器或数据库执行恶意的 SQL 命令。
下面给出SQL注入漏洞的示例。网站的某个查询页面的URL为http://xxx.com/list?id=xxx,用户修改URL将以下数据post到服务器,那么服务器执行的SQL就不符合程序设计者的初衷。
SQL注入的危害程度不言而喻。用户通过执行SQL注入会导致数据库中存放的用户的隐私信息的泄露,在特定情况下甚至可以执行任意SQL语句,从而窜改系统管理员帐户,经由数据库服务器提供的系统支持,让黑客得以修改或控制服务器系统,最终破坏数据库数据,瘫痪全系统,通过二次注入导致其他问题,比如读取任意文件。
SQL注入的修复方法也有很多种。比如说需要用户输入的数字是int型,那么在代码中可以用intval()函数进行强制类型转换(做好异常捕获),如果需要用户输入的数据是字符类型,可以用mysql_real_escape_string()函数进行转换,当然还可以使用预编译和占位符的形式进行sql查询。
命令注入漏洞
命令注入漏洞的原因是程序使用了不安全的函数或方法,被用户操纵并执行危险的命令,比如php危险函数:system(); exec(); shell_exec(); ......
程序冲一旦存在命令注入漏洞,攻击者就可以在目标系统执行任意系统命令。
在如下代码段中,调用了危险函数执行命令,如果用户在本该输入路径的地方输入shell命令,比如输入a.txt && kill -9 xxx那么系统就会执行这些命令影响服务器的正常运行。
<?php
$cmd = 'cat '.$_GET['path'];
system($cmd);
?>
命令注入的规避方式就是尽量不要使用危险函数,在使用危险函数的位置对用户的输入进行严格校验,设置白名单等。
权限类漏洞
网站中的权限漏洞更加常见,并且权限漏洞一般不会在开发阶段引起程序错误,而测试阶段测试方法不够严谨就会在网站中遗留权限漏洞。
权限漏洞一般可以分为认证漏洞,未授权访问和水平越权几种情况。修改的方法建议统一进行权限校验。
认证漏洞
认证漏洞比较容易理解,就是通过非法手段破解用户账号和密码信息。比如通过手机验证码登陆的网站,假设验证码是4位数字组成,非法用户通过暴力破解获取到验证码从而取得用户的信息。稍微离题强调以下,数据库中用户的密码一定要进行加密存储,绝对不允许存放明文。
认证漏洞需要在程序设计上进行规避,比如对用户登陆失败时,给出相对模糊的提示信息,提示账号或密码输入错误或不存在而不是准确告诉用户账号错误,密码错误或密码太长等过于明显的提示,通过手机验证码验证的网站可以设置允许用户尝试的最大次数,设置验证码失效实践,设置每个手机每天能接受验证码的最大次数,多次错误锁定IP或锁定账号等。
未授权访问
未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问,从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露。
未授权访问最简单的例子,比如不校验用户输入信息就跳转到登陆后的页面,泄漏该用户的信息。当然这样的程序设计听起来很蠢,但是我们一定要保证在需要权限访问时进行验证。
目前主要存在未授权访问漏洞主要是服务器,比如NFS服务,Samba服务,LDAP,Rsync,FTP,GitLab,Jenkins,MongoDB,Redis,ZooKeeper,ElasticSearch,Memcache,CouchDB,Docker,Solr,Hadoop,Dubbo等。目前大部分的勒索病毒均利用未授权访问等通用漏洞进行植入、勒索,尤其是Redis、MongoDB等数据库的未授权访问漏洞尤其严重。
未授权访问的解决方式就是对开启的目标服务进行验证。
水平越权
水平越权指的是A与B在系统中具有相同权限 (普通用户),而A用户登录后可以看到B的内容(比如个人隐私信息)或者B登录后可以看到A的内容。2018年3月,12306网站就闹出过这种漏洞。
举个简单的例子,比如某用户查看自己的订单信息URL为http://xxx.com/list?orderId=xxx,该用户在这个页面修改订单编号orderId,如果后台没有校验拥有修改后订单是否归属当前用户,那么修改后的订单信息很有可能就被泄漏了。
水平越权问题的修改同样也是进一步规范化权限的校验,另外像上例中提到的问题可以考虑进行URL重写,对用户进行尽量少的信息暴漏。
文件类漏洞
文件类漏洞包括用户通过非法操作进行任意文件读取,任意文件上传,任意文件删除和任意文件的查看等。
任意文件的上传比如说在需要上传文件的页面没有校验文件类型,而导致用户将shell脚本程序等上传到服务器被服务器执行从而造成对服务器的损害。
任意文件的读取比如说网站的目录权限没有做好,服务器校验也没有配置,用户通过修改URL切换到不应该访问的目录文件得到如下所示的文件信息
文件类漏洞的修复通常可以包括以下方面。服务器的路径: 大部分场景下需要对访问到的路径进行检查,发现不合理的请求及时拒绝。文件后缀: 文件上传时,仅允许上传白名单后缀。
另外在使用php的文件相关的函数时需要格外注意,这些函数包括
fopen,file_get_contents,file_put_contents,include,require, renderFile,unlink等。
