公司网站建设怎样维护Web利用程序不挨直接对象援用
发布时间:06/10 来源:未知 浏览:
关键词:
在前面那个对于信誉卡的例子中,会员需要从两个卡当选择一个信誉卡,这会袒露对信誉卡数据库的直接援用。一个更好的办法是将这两个信誉卡的记载存储到一个针对此会员的特定阵列中。对于信誉卡的选中,其代码相似于下面的内容:
在这种办法中,仅有对此会员阵列的一个直接援用,它仅包含此会员的数据。将选项的值改为大于2的任何值不会导致其他会员的信誉卡细节被应用。然后,利用程序将把会员的特定的非直接对象援用(选项值为1或2)映射回底层的数据库要害字(前面例子中的56和88)
对不平安的直接对象援用的测试
不幸的是,破绽扫描器在发明不平安的直接对象援用破绽方面并不是很高效,所以最好的选中是:
1、细心检查代码,确认是否有重要的参数易于遭到应用和操作。 无妨设想一个歹意黑客能够访问贵企业所有客户的账户细节,或者运用他人的信誉卡在线购物,而这一切只需转变URL中的几个数字。这听起来似乎不太可能,但是要是你的Web利用程序容易遭挨不平安的直接对象援用的危害,歹意黑客要达到这个目的简直易如反掌。 郑州网站建设企业
不平安的直接对象援用举例
这里的"对象"是指文件、目录、数据库记载等内部实施的对象,在利用程序将URL(或表单参数)中的一个援用袒露给这些对象之一时,就会产生平安题目。这是由于黑客可以修改这些直接对象援用,例如,黑客可以在一个URL被提交以前进行参数修改,妄图访问一个不一样的、未获得授权的文件、目录,或数据库中的条款。要是不增强其它的授权检查,这种妄图就会成功。
假如有一个Web利用程序终究会生成下面这个URL:
这里有一个非常显明的对yoursometextfile.txt文件的直接对象援用。它对黑客的诱惑在于,看到要是将这个文件名换成另外一个文件名(如"yourpasswords.txt"或"youraccounts.txt")会产生什么。
要取得这种成功,黑客必须准确地推测出系统上另外一个文件名,但一个更合理的办法,是探求系统上其它位置的特定内容,其运用的办法就是目录遍历袭击(目录遍历是Http的一个平安破绽,它使得袭击者能够访问挨限定的目录,并能够在Web服务器的根目录之外施行下令。)。从本质上讲,这意味着访问一个完全不一样的目录,或者存在破绽的利用程序的开发者所构建的任何方面。为访问Apache Tomcat文件名和口令,黑客可能将URL的最后一局部改成:
这会使黑客进一步问,"要是我将客户ID(customerid)换成4568会产生什么?"
与此相似,要是一个Web利用程序允许一个会员依据数据库的要害字援用从存储在数据库中的一个或多个信誉卡中的一个,那么黑客修改此数据库的要害字时,会产生什么呢?
在这里,会员可以从两个离别以6902和5586为结尾的卡当选择一个,该卡号由数据库的要害字援用,而利用程序可以访问此数据库文件。因而,黑客可以将56或88改为另一个数字,如78,用来援用属于另外一个会员的卡号。要是没有其它的认证检查来防止这种援用,袭击将获得成功。
以免不平安的直接对象援用
以免不平安的直接对象援用(DOR)破绽的最好办法是,完全不要袒露私密的对象援用,但要是非用不可,非常重要的一点是确保在向任何会员供给访问以前对其进行认证和审查。环球顶级的Web利用平安机构OWASP倡议公司创立一种援用利用程序对象的规范办法,现简述如下:
1、尽可能以免将私密的对象援用袒露给会员,如重要的要害字或文件名。
2、使用一种"可承受的良好办法",细致地验证任何私密的对象援用。决议准许会员访问哪些文件,并仅授与这些会员访问这些文件的权力。
3、对所有援用的对象都要进行验证。
OWASP还供给了第三个要点的一个例子。在此,黑客可以将电子商务网站的购物车ID参数改为任何值.
