安全编程-安全输入验证

た入场券 2022-08-13 10:58 252阅读 0赞

在几乎所有安全的程序中，你的第一道防线就是检查你所接收到的每一条数据。如果你能不让恶意的数据进入你的程序，或者至少不在程序中处理它，你的程序在面对攻击时将更加健壮。在不得不接收输入，但是又不能相信输入的时候，最好的方法就是充分检测输入，并且确认输入的正确性，应当将输入限制在某些可接受的值范围内。

输入验证程序可分为2个主要部分：语法检查和语义检查。

语法检查主要检测输入的格式是否正确，其紧接着输入模块执行；

语义检查确定输入是否恰当，与业务密切相关因此通常紧挨着应用程序的逻辑部分。

验证各种来源的输入

不仅需要验证用户输入，而且还需要验证所有来自于软件之外的输入。这些输入应当包括下面这些内容，但不仅仅限于这些：

*   命令行参数
 *   配置文件
 *   从数据库中检索出的数据
 *   环境变量
 *   网络服务
 *   注册表值
 *   系统性能参数
 *   临时文件

进行输入验证的最好方法就是根据一系列已知的正确值来验证输入。正确值输入验证法并不尝试检验某些特定的错误。通过已知正确值清单来进行检验称为白名单法。当可能输入的集合比较小的，可以选择使用间接选择来确保不能绕过白名单。

**间接选择**

列出一个清单，里面包含所有允许用户输入的合法有效数据，只允许用户提供该清单中的索引值。当合法值得范围不多时可以采用此方法。

下面是一个示例，说明使用间接选择防范命令行注入。

public static final String \[\] ALLOWED\_COMMAND\_ROUTINES =

\{

"cmd",

"command",

"sh",

"env",

\};

private static boolean isValidateCommandRoutine(String command)

\{

Boolean isValidRoutine = false;

for (int i=0; i<ALLOWED\_COMMAND\_ROUTINES.length ;i++)

\{

if (command.equals(ALLOWED\_COMMAND\_ROUTINES\[i\]) != -1)

\{

isValidRoutine = true;

\}

\}

return isValidRoutine;

\}

public static String\[\] validateCommandArray(String cmds\[\])

\{

Boolean isValidRoutine = isValidateCommandRoutine(cmds\[0\]);

if (isValidRoutine)

\{

String\[\] validatedCmdArray = new String\[cmds.length\];

for (int i=0; i<cmds.length; i++)

\{

if ( null != cmds\[i\] && cmds\[i\].trim().length()>0)

\{

validatedCmdArray\[i\] = removeControlCharacter(cmds\[i\]);

\}

\}

return validatedCmdArray;

\}

return null;

\}

**白名单法**

当合法值的范围太广泛时，不能明确确定。在这种情况下最好的方式就是创建一个可接受输入值的白名单。与间接法不同，输入值可以以任何方式组合而成，从而使有效范围大大扩大。

例如，使用正则表示式验证电话号码

function CheckNum(telvalue)\{  //输入的电话号码必须为数字用户逗号分隔

var   reg=/^\[0-9,\]+$/;

if(!reg.test(telvalue))\{

alert("电话号码只能为数字，用逗号分隔");

return false;

\}

\}

避免使用**黑名单法**。因为黑名单法只拒绝已知恶意的数据，在给定的环境下，恶意值的集合通常是难以枚举的，所以黑名单法一般是不完善的。而且随着时间的变迁原有的清单会过时，不利于应用程序的安全。

有效的安全输入验证可很好地防范注入问题。代码注入是一种常见的对Web应用程序的攻击和威胁。在OWASP TOP10中多年一直占据第一的位置。

OWASP对注入的定义如下：

注入攻击漏洞，例如SQL，OS以及LDAP注入。这些攻击发生在当不可信的数据作为命令或者查询语句的一部分，被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器，以执行计划外的命令或者在未被恰当授权时访问数据。

注入可分为很多类型：OS命令注入、XPath注入、LDAP注入、SQL注入、XQuery注入、SSI注入、XML注入等。

如何防止注入漏洞：

1、最佳选择是使用安全的API，完全避免使用解释器或提供参数化界面的API。但要注意有些参数化的API，比如存储过程（stored procedures），如果使用不当，仍然可以引入注入漏洞。

2、如果没法使用一个参数化的API，那么你应该使用解释器具体的escape语法来避免特殊字符。OWASP的ESAPI就有一些escape例程。

**命令行注入**

org.owasp.esapi.codecs.UnixCodec

org.owasp.esapi.codecs.WindowsCodec

**XPath注入**

org.owasp.esapi.tags.EncodeForXPathTag

**LDAP注入**

org.owasp.esapi.reference.DefaultEncoder

**SQL注入**

org.owasp.esapi.codecs.MySQLCodec

org.owasp.esapi.codecs.DB2Codec

org.owasp.esapi.codecs.OracleCodec

**XML注入**

org.owasp.esapi.codecs.XMLEntityCodec

**JSON注入**

org.owasp.esapi.codecs.HTMLEntityCodec

org.owasp.esapi.codecs.JavaScriptCodec

3、使用正面的或“白名单”的具有恰当的规范化的输入验证方法同样会有助于防止注入攻击。但由于很多应用在输入中需要特殊字符，这一方法不是完整的防护方法。OWASP的ESAPI中包含一个白名单输入验证例程的扩展库。

发表评论取消回复

表情：

评论列表（有 0 条评论，252人围观）

还没有评论，来说两句吧...

相关阅读

相关 ElasticSearch: xpack 密码安全验证

背景在阿里云部署了一台 ElasticSearch 节点，9200 端口直接暴露在了公网下，结果三天两头受到攻击，访问 kibana 老出现 redirect 重定向问

Love The Way You Lie/ 2022年12月10日 08:43/ 0 赞/ 246 阅读

相关 python安全编程教程_Python 安全编程教程.pdf

目录入门入门Pt.2 端口扫描反向shell 模糊测试 Python转exe Web请求爬虫 Web扫描和利用 Whois查询系统命令调用 P

太过爱你忘了你带给我的痛/ 2022年10月31日 14:57/ 0 赞/ 259 阅读

相关安全编程-数据保护

在信息系统中数据已成为重要的资源，数据的安全也越来越受到关注。业务系统需要了解谁在查看或者谁在修改它们控制的数据。隐私保护是人们保护其私有信息在未经同意的情况下不被暴露的权力。

超、凢脫俗/ 2022年08月14日 01:46/ 0 赞/ 270 阅读

相关安全编程-会话安全

HTTP协议是无状态的，这就意味着Web应用并不了解有关同一个用户以前请求的信息。会话是在服务器端维护每次HTTP请求的状态，使用会话标识符的最常见原因是允许用户只进行一次验证

谁借莪１个温暖的怀抱￠/ 2022年08月14日 00:49/ 0 赞/ 227 阅读

相关安全编程-异常处理

一般情况下，程序员没有充分考虑错误条件和异常情况，而是更多地考虑那些期望的情况，这种忽略使得攻击者可以遵循一条错误和异常发生路径来实现攻击。不完善的错误处理机制通常会导致资源泄

忘是亡心i/ 2022年08月13日 15:50/ 0 赞/ 182 阅读

相关安全编程-安全输入验证

在几乎所有安全的程序中，你的第一道防线就是检查你所接收到的每一条数据。如果你能不让恶意的数据进入你的程序，或者至少不在程序中处理它，你的程序在面对攻击时将更加健壮。在不得不接收

た入场券/ 2022年08月13日 10:58/ 0 赞/ 253 阅读

相关 PHP安全编程之PHP的安全模式

PHP的safe\_mode选项的目的是为了解决本小节前后所述的某些问题。但是，在PHP层面上去解决这类问题从架构上来看是不正确的，正如PHP手册所述(http://php.n

曾经终败给现在/ 2022年07月19日 11:50/ 0 赞/ 239 阅读

相关 PHP安全编程之过滤用户输入

过滤是Web应用安全的基础。它是你验证数据合法性的过程。通过在输入时确认对所有的数据进行过滤，你可以避免被污染（未过滤）数据在你的程序中被误信及误用。大多数流行的PHP应用的漏

喜欢ヅ旅行/ 2022年07月19日 05:09/ 0 赞/ 207 阅读

相关 SpringBoot安全登录验证

项目结构： ![这里写图片描述][SouthEast] 验证实现——WebSecurityConfig.java package com.dx.config;

今天药忘吃喽~/ 2022年06月01日 07:27/ 0 赞/ 209 阅读

相关 springMvc的安全登录验证

原文：https://blog.csdn.net/qq\_38662236/article/details/84101352 1. 引入springMvc权限框架sec

本是古典何须时尚/ 2022年04月12日 11:17/ 0 赞/ 226 阅读