【51CTO.com 獨(dú)家翻譯】業(yè)內(nèi)分析人士估計(jì)，有超過(guò)70%的安全漏洞是在應(yīng)用程序中被發(fā)現(xiàn)的，大部分都是由代碼內(nèi)存在的安全缺陷引起的。

微軟已經(jīng)為.Net環(huán)境添加了大量的功能，幫助開(kāi)發(fā)人員創(chuàng)建安全的應(yīng)用程序，例如，身份驗(yàn)證已經(jīng)成為開(kāi)發(fā)環(huán)境集成的一個(gè)功能，另外，默認(rèn)情況下調(diào)試消息被禁用掉了。微軟對(duì)安全的關(guān)注程度極大地影響了開(kāi)發(fā)人員，促使他們?cè)谲浖_(kāi)發(fā)過(guò)程中重新評(píng)估納入安全保障的重要性。

但遺憾的是不是每個(gè)人都能做得很好，據(jù)來(lái)自SPI Dynamics公司的客戶(hù)服務(wù)記錄顯示，.Net開(kāi)發(fā)人員常犯以下6大安全錯(cuò)誤：

1、在開(kāi)發(fā)過(guò)程中沒(méi)有考慮安全

如果在整個(gè)應(yīng)用程序開(kāi)發(fā)過(guò)程中做到了安全地編碼，將會(huì)使開(kāi)發(fā)周期和成本減小到最低。此外，安全開(kāi)發(fā)實(shí)踐將會(huì)使應(yīng)用程序更穩(wěn)定，錯(cuò)誤更少，但如果不考慮安全，直到產(chǎn)品生命周期中的QA或用戶(hù)驗(yàn)收階段才考慮安全性，很可能會(huì)導(dǎo)致返工，延遲交付，最終導(dǎo)致成本超支。

2、SQL注入

SQL注入就是向應(yīng)用程序提交非開(kāi)發(fā)人員本意的SQL代碼，這些SQL代碼往往具有陰險(xiǎn)的目的，如果Web應(yīng)用程序把關(guān)不嚴(yán)，它們將傳遞給數(shù)據(jù)庫(kù)，數(shù)據(jù)庫(kù)一般是無(wú)法識(shí)別SQL是否具有惡意，它只管執(zhí)行接收到的命令。

例如，當(dāng)開(kāi)發(fā)人員沒(méi)有保護(hù)潛在的惡意輸入字符（`）時(shí)，攻擊者就可以偽造SQL字符串，使系統(tǒng)和應(yīng)用程序的訪(fǎng)問(wèn)權(quán)直接暴露給攻擊者。

3、跨站腳本攻擊

跨站腳本是由用戶(hù)輸入產(chǎn)生的，返回給用戶(hù)有用的信息，在動(dòng)態(tài)生成的網(wǎng)頁(yè)顯示沒(méi)有經(jīng)過(guò)驗(yàn)證的輸入時(shí)就可能發(fā)生跨站腳本攻擊（也被稱(chēng)為XSS或CSS），這樣攻擊者可以在生成的頁(yè)面中插入惡意JavaScript代碼，只要用戶(hù)訪(fǎng)問(wèn)了該頁(yè)面，他使用的機(jī)器就會(huì)執(zhí)行惡意JavaScript代碼。

攻擊者使用跨站腳本攻擊可能會(huì)獲得一些機(jī)密信息，操縱或竊取Cookie，為有效的用戶(hù)創(chuàng)建一個(gè)錯(cuò)誤請(qǐng)求，或在最終用戶(hù)系統(tǒng)上執(zhí)行惡意代碼。

4、使用用戶(hù)輸入作為文件名

開(kāi)發(fā)人員經(jīng)常使用一個(gè)參數(shù)確定哪些文件應(yīng)該顯示給最終用戶(hù)。如：myPageGenerator.aspx?Template=Welcome.html。

如果使用這種功能，關(guān)鍵是要確保請(qǐng)求的文件在正確的文件夾中，攻擊者可以修改查詢(xún)字符串訪(fǎng)問(wèn)本不能訪(fǎng)問(wèn)到的文件。

攻擊者示例：myPageGenerator.aspx?Template=../../../../../../boot.ini。

5、不當(dāng)?shù)厥褂肅ookie和隱藏參數(shù)

開(kāi)發(fā)人員經(jīng)常會(huì)在Cookie和隱藏參數(shù)中存儲(chǔ)信息，Cookie是從服務(wù)器發(fā)送給客戶(hù)端瀏覽器HTTP消息頭中的一段信息，隱藏參數(shù)是在HTML表單中隱藏的控件名稱(chēng)和值，許多Web服務(wù)器使用Cookie存儲(chǔ)會(huì)話(huà)令牌和其它基于會(huì)話(huà)的令牌。

常見(jiàn)的錯(cuò)誤包括將產(chǎn)品定價(jià)，信用卡號(hào)碼，帳戶(hù)和其它關(guān)鍵信息存儲(chǔ)在Cookie和隱藏參數(shù)中。開(kāi)發(fā)人員必須記住，攻擊者可以很容易修改Cookie。

6、在Web.config文件中開(kāi)啟調(diào)試選項(xiàng)

Web.config文件的部分設(shè)置.Net應(yīng)用程序如何處理錯(cuò)誤，應(yīng)用程序不應(yīng)該將詳細(xì)的錯(cuò)誤信息顯示給最終用戶(hù)，相反，應(yīng)該顯示一個(gè)“友好的”消息給用戶(hù)，指出網(wǎng)站遇到技術(shù)困難正在處理，不要顯示任何技術(shù)細(xì)節(jié)信息。攻擊者可以從錯(cuò)誤信息中獲得大量有用的信息，在ASP.NET應(yīng)用程序中開(kāi)啟詳細(xì)錯(cuò)誤消息是最大的安全問(wèn)題。

下表顯示了有效的設(shè)置：

表1

描述摘自Visual Studio .Net默認(rèn)產(chǎn)生的Web.config文件。

總結(jié)

無(wú)論安全漏洞是否被公開(kāi)，攻擊者能訪(fǎng)問(wèn)你的敏感數(shù)據(jù)是事實(shí)，應(yīng)該引起公司、股東和最重要的，你的客戶(hù)的高度重視。SPI Dynamics發(fā)現(xiàn)，大多數(shù)公司談到自身應(yīng)用程序的安全問(wèn)題時(shí)都很謹(jǐn)慎，看來(lái)應(yīng)用程序安全問(wèn)題在未來(lái)一段時(shí)間內(nèi)仍將會(huì)是攻擊者的首選目標(biāo)。

【51CTO.COM 獨(dú)家翻譯，轉(zhuǎn)載請(qǐng)注明出處及作者！】

【編輯推薦】

1. 如何使用Nikto漏洞掃描工具檢測(cè)網(wǎng)站安全
2. 雅虎HotJobs網(wǎng)站發(fā)現(xiàn)跨站腳本攻擊安全漏洞