一、ASP.NET Web应用程序架构安全隐患
1. 对于程序集主要威胁:未验证的访问、反向工程、代码注入、通过异常获得程序信息、未审核访问。
2. 客户端与Web应用程序之间的安全隐患:代码注入(跨站点脚本或缓冲区溢出攻击)、网络监控(密码和敏感应用程序数据探测)、参数破解(表单字段、查询字符串、Cookie、视图状态、HTTP头信息)、会话状态变量ID取得、信息获取(通常使用异常)。
3. Web应用程序客户端与企业服务之间的安全隐患:非审核访问、破解配置数据、网络监视、未约束代理、数据复制。
4. Web服务客户端及其服务之间的安全隐患:非审核访问、参数破解、配置数据取得、网络监、消息回复。
5. Remoting客户端及服务器之间的安全隐患:非审核访问、参数破解、序列化、网络监控。
6. 客户端到数据之间的安全隐患:非审核访问、SQL注入、破解数据模型和链接详细信息、网络监控、破解配置数据、破解面干应用程序数据。
* ASP.NET安全架构注意事项
1. 在浏览器认证用户;
2. 在浏览器和防火墙通路中1)保护敏感数据2)阻止参数破解3)阻止会话攻击和Cookie回复攻击
3. 在Web应用程序侧1)提供安全配置2)处理异常3)审核用户4)验证输入
4. 应用程序服务器1)认证和审核上传身份2)审核并记录活动和事务
5. 在应用程序服务器和数据库间保护敏感数据
6. 数据库中加密或者哈希加密敏感数据
二、ASP.NET Web应用程序安全性隐患防治办法
1. 防止跨站点脚本攻击(Cross-Site Scripting Attack)
攻击方法:在页面通过输入脚本或HTML内容获取敏感数据。
威胁指数:6
攻击结果:应用程序拒绝服务或重启,获得错误堆栈信息(※)推测代码进行下一步攻击。
※注:在ASP.NET配置文件中如果未关闭CustomErrors则可能导致在出现系统异常时显示错误行代码或数据库连接字符串,泄漏配置数据,造成危险隐患。
预防措施:ASP.NET控件验证或服务器端输入验证。
采用客户端验证和服务器端验证结合的方式对用户输入进行验证,通过比较控件输入和其HTML译码值的一致性确认输入字符串中是否含有HTML特殊符号,以此作为依据转化HTML特殊符号,防止脚本在回发表示时触发。
2. 防止SQL注入攻击(SQL Injection Attack)
攻击方法:通过画面输入或URL参数修改,利用其作为SQL查询条件的特殊性,将输入SQL文注入并返回结果的攻击。
威胁指数:9
攻击结果:可查询敏感数据并可修改系统数据。
预防措施:在数据更新和查询时使用数据库参数对象或使用自定义方法转换输入参数,以使注入SQL文失效。
3. 验证用户输入
通过客户端验证为主、服务器端验证为辅(当禁用客户端Javascript时服务器端验证就尤为重要)
客户端验证主要负责验证用户输入的类型、长度、关联关系的验证(此功能由系统扩展控件提供);
服务器端验证分为两部分:
1) 输入验证
输入验证需要对用户输入文字的HTML特殊字符进行验证,含有特殊字符的要抛出系统错误;数据的长度控制尽量在画面通过控件的允许输入长度进行控制;
2) 数据验证
验证数据类型、长度等;此验证行为在对象上进行。
4. 使用Hash算法保存密码
使用ASP.NET Membership管理用户,用户密码使用Hash算法和Salt加密,安全性高;
对于其它需要保存的密码,系统基础结构将提供Hash加密算法进行不可反向加密,作为验证凭据,或者先取先用不保存在数据存储中。
5. 数据安全性
1) 加密敏感数据:基础结构应提供Hash加密算法支持数据加密。
2) XML数据安全性:防止XML数据攻击。
攻击方法:XPath注入和XXE(扩展XML实体)注入攻击。
威胁指数:8
攻击结果:获得XML文件信息。
预防措施:不在XML中保存敏感信息,所有配置文件中的敏感信息需要加密保存,对于要写入XML的数据应先通过验证。
3) ViewState数据安全性:防止从ViewState获取敏感数据。
攻击方法:通过解码ViewState获得敏感信息。
威胁指数:6
攻击结果:获得ViewState中的敏感信息。
预防措施:禁用ViewState或避免,使用简单控件采用加密方式保存敏感信息。
关联问题:使用JSON字符串时注意敏感数据的处理。
6. 存储安全信息到注册表和配置文件
控制远程用户对配置文件的访问权限,保护配置文件中的敏感数据。
7. 再发布前修正配置文件
为防止错误堆栈信息推测以及通过其它信息查获手段进行攻击,ASP.NET Web应用程序在发布前应对配置文件进行修正。
错误堆栈信息推测攻击
攻击方法:造成系统异常,通过错误页上的堆栈信息推测代码进行下一步攻击。
威胁指数:6
攻击结果:推测系统版本和代码逻辑。
预防措施:捕获系统异常使用统一页面进行处理不表示错误堆栈信息,将自定义错误节点设置为<customErrors mode=”Off” />即可防止错误信息表示给远程用户;同时应关闭调试开关<compilation defaultLanguage=”vb” debug=”false” />防止通过调试信息泄漏源代码或进行代码注入。
同时应该关闭Trace优化性能并防止方法攻击者利用Trace推测代码执行过程和详细内容:<trace enabled=”false” requestLimit=”10” pageOutput=”false” traceMode = ”SortByTime” />
对于Web服务要防止远程用户利用WSDL描述进行推测攻击。
攻击方法:访问Web服务WSDL文件,获得Web服务相关信息。
威胁指数:4
攻击结果:获得Web服务方法描述,推测Web服务参数,进行下一步攻击。
预防措施:在配置文件中指定不表示Web方法描述内容,配置文件改修如下:
代码如下:
<webServices>
<protocols>
<remove name="Documentation"/>
</protocols>
</webServices>
8. 使用Session但不使用Cookieless的Session
原因:Cookieless的Session将在URL中曝露SessionID,使别人易于利用进行攻击。
9. 预防方向工程
攻击方法:获得程序集使用工具进行反向工程。
威胁指数:9
攻击结果:了解程序逻辑,盗取开发成果。
预防措施:在发布时进行强加密和混淆工程。
参考:
ASP.NET Security: 8 Ways to Avoid Attack
http://www.devx.com/security/Article/20898/1954
《Hacking Exposed Web 2.0 : Web 2.0 Security Secrets and Solutions》,Rich Cannings, Himanshu Dwivedi, Zane Lackey,2008.