網站安全框架ESAPI 使用介紹-上集

網站安全框架ESAPI 使用介紹-上集

OWASP 定義網站十大威脅,

針對這十大威脅的防護設計與編碼有沒有現有的程式框架或是lib 可以使用?

這就是 ESAPI 誕生的原因, 因為它提供許多程式語言程式庫,

讓程式開發者只要使用相關的函數就可以達到網站安全的防護

這篇文章針對十大威脅與ESAPI的使用做介紹

A1. XSS Cross-Site Scripting

要有效防止 XSS 的攻擊, 必須做到

1. 輸入資料的驗證

2. 輸出資料的編碼 (一定要)

這邊特別強調就算輸入資料已經有所驗證, 輸出資料的編碼還是一定要!

ESAPI 輸入資料驗證範例

[pastacode lang=”java” message=”” highlight=”” provider=”manual”]

String validatedFirstName = ESAPI.validator().getValidInput("FirstName",
	myForm.getFirstName(), "FirstNameRegex", 255, false, errorList);
boolean isValidFirstName = ESAPI.validator().isValidInput("FirstName",
	myForm.getFirstName(), "FirstNameRegex", 255, false);

[/pastacode]

哪些HTML的輸出需要編碼呢?

• 1. HTML entity
• 2. HTML Attribute
• 3. JavaScript
• 4. CSS
• 5. URL

ESAPI 輸出編碼範例

//performing output encoding for the HTML context
String safeOutput = ESAPI.encoder().encodeForHTML( clean encoded output Comment );

A2. SQL Injection 的攻擊

下列程式範例就會受到 SQL Injection 攻擊, 因為整個SQL 語句是由輸入變數動態產生

String sqlString = "SELECT * FROM users WHERE fullname = '"
    + form.getFullName() + "' AND password = '" + form.getPassword() + "'";

防護的方式通常建議

1. Prepared Statement

myPrepStmt = conn.prepareStatement("SELECT name FROM users WHERE id = ?");
myPrepStmt.setInt(1, userID);

2. ESAPI

如果使用 ESAPI 範例如下, 將使用者輸入的參數編碼後再執行

//ESAPI version of query
Codec ORACLE_CODEC = new OracleCodec();		//we're using oracle
String query = "SELECT name FROM users WHERE id = " +
   ESAPI.encoder().encodeForSQL( ORACLE_CODEC, validatedUserId)
   + " AND date_created >= '"
   + ESAPI.encoder().encodeForSQL( ORACLE_CODEC, validatedStartDate) +"'";
myStmt = conn.createStatement(query);

A3. 檔案上傳攻擊

當網站提供檔案上傳時, 也間接開放一個駭客攻擊的管道

可能遇到的風險與防護方式列舉如下

可以使用ESAPI對檔名進行驗證
ESAPI.validator().isValidFileName

ServletFileUpload upload = new ServletFileUpload(factory);

upload.setSizeMax(maxBytes);

A4. Direct object reference (DOR)

這個威脅解決什麼問題呢?

如果有特定資源存取的方式如下

那麼駭客可以依照這樣的方式存取其他人的資源

/users/viewDetail?id=36

/users/viewDetail?id=37

像這樣的問題要怎樣解決呢?

有兩個方式可以解決

• 1. 使用 ESAPI 的AccessReferenceMap
• 2. 使用授權認證的機制

Access Reference Map 範例程式

[pastacode lang=”java” message=”” highlight=”” provider=”manual”]

 Set fileSet = new HashSet();
 fileSet.addAll(...); // add direct references (e.g. File objects)
 AccessReferenceMap map = new AccessReferenceMap( fileSet );
 // store the map somewhere safe - like the session!
 String indRef = map.getIndirectReference( file1 );
 String href = "http://www.aspectsecurity.com/esapi?file=" + indRef );
 ...
 // if the indirect reference doesn't exist, it's likely an attack
 // getDirectReference throws an AccessControlException
 // you should handle as appropriate
 String indref = request.getParameter( "file" );
 File file = (File)map.getDirectReference( indref );

[/pastacode]

一般的情況下兩個都會合用, 使用者授權與相對應的資源

A5. CSRF攻擊

要防止CSRF 攻擊, 比較有效的方式

1. 過程中要求使用者再次確認

2. 使用圖形驗證碼 (讓電腦無法自動輸入 )

3. 使用 Random Token

  <form action="/transfer.do" method="post">
  <input type="hidden" name="CSRFToken" 
  value="OWY4NmQwODE4ODRjN2Q2NTlhMmZlYWE...
  wYzU1YWQwMTVhM2JmNGYxYjJiMGI4MjJjZDE1ZDZ...
  MGYwMGEwOA==">
  …
  </form>

ESAPI 主要提供的是 Random Token的產生