|
|
|
|
公众号矩阵

软件开发过程中安全代码的七大实践

本文从加密、编码、白名单、最小特权、以及转义不可信的用户输入等方面,为您罗列了日常软件开发过程中的七种安全编码的实践示例。

作者:陈峻来源:51CTO|2021-04-23 09:00

【51CTO.com快译】众所周知,软件的安全性如今已得到了前所未有的重视程度。许多企业会将安全性嵌入到应用程序的开发阶段。这样既能有利于整体安全性的遵守,又可以在软件的不同层面上创建多个安全性检查点。本文将通过如下图所示的各种方面,以实例的形式,向您展示各种安全代码的实践。虽然主要是以Java为例,但是它们也可以被运用到任何其他编程语言上。

1.转义/逃逸输入(Escape the Input)

所谓转义攻击是指攻击者将执行命令/查询,伪装并嵌入到普通的文字输入中,通过欺骗应用程序的执行引擎,而让其能够向攻击者提供各种信息与控制权。可见,为避免此类攻击的发生,我们需要对用户的输入进行转义,将其解释为文字,而非某些命令。同理,我们也需要对存储在数据库中的数据进行转义。

试想,如果某用户在其回帖的文字输入中带有JavaScript,那么他就可以试图从浏览器中窃取到Cookie。例如,当该回帖的内容被呈现在其他用户的浏览器屏幕上时,一旦我们的程序代码不去转义帖子中的包含的恶意代码。那么该JavaScript代码将被执行,并为攻击者提取各种所需的信息与控制权。以下是带有潜在风险的数据库查询代码,和相应的采取了转义措施的Java代码。

示例:

包含潜在风险的Java代码

  1. String query = "SELECT user_id FROM user_data WHERE user_name = '" 
  2.               + req.getParameter("userID"
  3.               + "' and user_password = '" + req.getParameter("pwd") +"'"
  4. try { 
  5.     Statement statement = connection.createStatement( … ); 
  6.     ResultSet results = statement.executeQuery( query ); 

安全的Java代码

  1. Codec ORACLE_CODEC = new OracleCodec(); 
  2. String query = "SELECT user_id FROM user_data WHERE user_name = '" 
  3. + ESAPI.encoder().encodeForSQL( ORACLE_CODEC, req.getParameter("userID")) 
  4. "' and user_password = '" 
  5. + ESAPI.encoder().encodeForSQL( ORACLE_CODEC, req.getParameter("pwd")) +"'"

2.避免将ID作为序列号

在某些情况下,攻击者会设法超过现有的限制,以获取更多的信息。例如,某个API的用户只被允许查看ID号为1-100的用户信息。而如果该系统采用的是以ID为顺序的递增编号方式,那么我们就可以预测到下一个用户的序列号将是101。由此,攻击者便可以利用这一逻辑上的漏洞,来获取在其权限之外的信息。

示例:

包含潜在风险的Java代码

  1. String sqlIdentifier = "select TESTING_SEQ.NEXTVAL from dual"
  2. PreparedStatement pst = conn.prepareStatement(sqlIdentifier); 
  3. synchronized( this ) { 
  4.    ResultSet rs = pst.executeQuery(); 
  5.    if(rs.next()) 
  6.      long myId = rs.getLong(1); 

安全的Java代码

  1. // This example is for Oracle 
  2. String sqlIdentifier = "select TESTING_SEQ.NEXTVAL from dual"
  3. PreparedStatement pst = conn.prepareStatement(sqlIdentifier); 
  4. synchronized( this ) { 
  5.    ResultSet rs = pst.executeQuery(); 
  6.    if(rs.next()) 
  7.      long myId = rs.getLong(1) + UUID.random(); 

3.运用极简主义方法

为了减少攻击面,系统应采用最小的空间使用策略。从本质上说,这就意味着系统能够很好地避免各种权限的暴露。例如,根据某项业务需求,系统需要使用代码“HTTP 200”,来响应存在着被请求的资源。但是如果我们为REST API提供了get操作,那么就会增加攻击者的攻击面。相反,该系统应该只通过HTTP协议的head方法,来提供有关现有资源的信息,而不必提供更多的无关信息。

示例:

包含潜在风险的Java代码

  1. //Get is allowed where we need to just check user exist 
  2. http://localhost:8080/User/id/1 

安全的Java代码

  1. http://localhost:8080/User/id/1 
  2. Head 

4.最小特权原则

让我们试想一个场景:通常,客服部门某个用户的常规访问权限是可以访问订单数据的API。但是为了简便起见或是某种原因,系统为其分配了超级管理员的角色。那么一旦他所处的系统被黑或遭到了帐号破坏,攻击者就可以利用他的超级管理员权限,来对该系统发起一系列的攻击操作。可见,为了减少攻击面,我们应当仅根据实际需求,以及既定的角色,来授予目标API相应的最小访问权限,不应该在系统中设置所谓可以访问所有内容的超级用户角色。

5.尽可能使用H​​TTPS或双向SSL

切勿以最原始的HTTP方式发布您的网站或是节点。毕竟如今大多数浏览器都会对那些单纯的HTTP站点显示警告。而且,业界建议针对集成的端点采用双向(2-Way)SSL方式,而对网站或站点通过HTTPS的方式,实现端到端加密。

不过,由于HTTPS只能保护了通信信道免受攻击,却无法在通道的密钥发生泄露时,保护数据。因此,业界建议使用强大的加密算法,对各种数据记录先进行加密,再通过可信的网络予以传输。

6.不要使用不安全的或弱的加密算法

如今,随着计算机算力的不断迭代与提高,弱的密钥已不再能够防止那些暴力破解的攻击手段。一些知名组织甚至将如下不安全的、或弱的加密算法,列入了所谓的“黑名单”。因此您在日常进行安全编程时,应当尽量避免使用到它们。

  • SHA-1
  • 1024位RSA或DSA
  • 160位ECDSA(椭圆曲线)
  • 80/112位2TDEA(双密钥三重DES)
  • 与其他各种旧算法类似,MD5从来都不是政府可以接受的算法。

7.将动态可执行代码(Dynamically Executed Code)列入白名单

如果您有一些代码是从API或APP的用户侧传入的,或者是在用户输入之后才生成的,那么为了让它们能够作为整体流程的一部分被执行,您需要让系统将这些待执行的命令列入白名单。例如,如果系统需要公布某项服务,以列出服务器上的对应目录,那么我们就需要将ls或dir之类的命令列入白名单,并转义用户输入的标志。

小结

综上所述,我们从加密、编码、白名单、最小特权、以及转义不可信的用户输入等方面,为您罗列了日常软件开发过程中的七种安全编码的实践示例。希望它们能够协助您大幅减少软件所面临的各种安全威胁,并提高自身的代码级安全态势。

原文标题:7 Practical Secure Coding Practices,作者:Awkash Agrawal

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

【编辑推荐】

  1. 黑产凶猛,新零售如何保护业务和数据安全?
  2. 谷歌启动 Android 12 的下一个开发者预览版
  3. HarmonyOS开发者看过来,HDD上海站传递的重要信息都在这里
  4. 实施Kubernetes以实现多云架构安全
  5. 常见的IaaS安全问题和缓解方法
【责任编辑:华轩 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

数据湖与数据仓库的分析实践攻略

数据湖与数据仓库的分析实践攻略

助力现代化数据管理:数据湖与数据仓库的分析实践攻略
共3章 | 创世达人

8人订阅学习

云原生架构实践

云原生架构实践

新技术引领移动互联网进入急速赛道
共3章 | KaliArch

38人订阅学习

数据中心和VPDN网络建设案例

数据中心和VPDN网络建设案例

漫画+案例
共20章 | 捷哥CCIE

232人订阅学习

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微