Kniga-Online.club
» » » » Дэвид Лебланк - 19 смертных грехов, угрожающих безопасности программ

Дэвид Лебланк - 19 смертных грехов, угрожающих безопасности программ

Читать бесплатно Дэвид Лебланк - 19 смертных грехов, угрожающих безопасности программ. Жанр: Программирование издательство неизвестно, год 2004. Так же читаем полные версии (весь текст) онлайн без регистрации и SMS на сайте kniga-online.club или прочесть краткое содержание, предисловие (аннотацию), описание и ознакомиться с отзывами (комментариями) о произведении.
Перейти на страницу:

private void btnSubmit_Click(object sender, System.EventArgs e) {

if (IsValid) {

Application.Lock();

Application[txtName.Text] = txtValue.Text;

Application.UnLock();

lblName.Text = "Hello, " + txtName.Text;

}

}

Греховность JSP

Эти примеры мало чем отличаются от примеров для ASP.

...

<% out.println(request.getParameter(«Name»)) %>

Или

...

<%= request.getParameter («Name») %>

Греховность PHP

Приведенный ниже код читает из строки запроса значение в переменную name, а затем копирует его в ответ:

...

<?php

$name=$_GET['name'];

if (isset($name)) {

echo "Hello $name";

}

?>

Греховность Perl–модуля CGI.pm

Этот код почти не отличается от примера РНР выше.

...

#!/usr/bin/perl

use CGI;

use strict;

my $cgi = new CGI;

print CGI::header();

my $name = $cgi->param('name');

print "Hello, $name";

Греховность mod–perl

При использовании mod–perl для вывода HTML–разметки нужно написать чуть больше текста. Но если не считать кода, формирующего заголовки, то это практически то же самое, что приведенные выше примеры на РНР и Perl–CGI.

...

#!/usr/bin/perl

use Apache::Util;

use Apache::Request;

use strict;

my $apr = Apache::Request->new(Apache->request);

my $name = $apr->param('name');

$apr->content_type('text/html');

$apr->send_http_header;

$apr->print("Hello ");

$apr->print($name);

Где искать ошибку

Любое приложение, обладающее перечисленными ниже признаками, уязвимо для атаки с кросс–сайтовым сценарием:

□ Web–приложение принимает данные из строки запроса, заголовка или формы;

□ приложение не проверяет корректность данных;

□ приложение отправляет принятые данные назад браузеру.

Выявление ошибки на этапе анализа кода

При анализе кода на предмет наличия XSS–ошибок обращайте внимание на места, где используется тот или иной объект запроса, а прочитанные из него данные копируются в объект ответа. Автор этой главы обычно ищет такие конструкции:

Выяснив, где производятся ввод и вывод, проверьте, контролируется ли корректность входных данных. Если нет, возможна XSS–ошибка.

Примечание. Данные могут не копироваться непосредственно из объекта запроса в объект ответа, возможно промежуточное сохранение в базе данных; обращайте внимание и на это тоже.

Хотелось бы отметить еще один важный момент. Многие полагают, что обращение к методу Response.Write и его аналогам – это единственный источник XSS–ошибок. На самом деле обнаружилось, что конструкции Response.Redirect и Response.SetCookie могут приводить к таким же последствиям; это получило название атаки с расщеплением HTTP–ответа. Вывод таков: любое копирование входных данных в выходные без проверки корректности – это ошибка, угрожающая безопасности. В разделе «Другие ресурсы» приведены ссылки на дополнительные материалы, относящиеся к уязвимостям из–за расщепления HTTP–ответа.

Тестирование

Простейший способ протестировать наличие XSS–ошибок – отправить запрос своему Web–приложению, задав всем входным параметрам заведомо небезопасные значения. Затем взгляните на полученный от сервера ответ, не ограничивайтесь только визуальным представлением. Изучите весь поток байтов, чтобы понять, вошли ли в ответ посланные вами данные. Если это так, ваш код может быть уязвим для XSS–атаки. Вот простой Perl–сценарий, который можно положить в основу теста:

...

#!/usr/bin/perl

use HTTP::Request::Common qw(POST GET);

use LWP::UserAgent;

# Сформировать заголовок, описывающий агента

my $ua = LWP::UserAgent->new();

$ua->agent("XSSInject/v1.40");

# Строки, содержащие внедряемый сценарий

my @xss = ('><script>alert(window.location);</script>'',

'"; alert(document.cookie);',

'\' onmouseover=\'alert(document.cookie);\' \'',

'"><script>alert(document.cookie);</script>',

'"></a><script>alert(document.cookie);</script>',

'xyzzy');

# Построить запрос

my $url = "http://127.0.01/form.asp";

my $inject;

foreach $inject (@xss) {

my $req = POST $url, [Name => $inject,

                             Address => $inject,

                                  Zip => $inject];

my $res = $ua->request($req);

# Получить ответ

# Если мы увидим внедренный сценарий, возможна проблема

$_ = $res->as_string;

print "Возможна XSS-ошибка [$url]n" if index(lc $_,lc $inject != -1);

}

Примеры из реальной жизни

Следующие примеры XSS–уязвимостей взяты из базы данных CVE (cve.mitre.org).

Уязвимость IBM Lotus Domino для атаки с кросс–сайтовым сценарием и внедрением HTML

По какой–то причине этому бюллетеню не присвоен номер в базе данных CVE. Противник может обойти HTML–кодирование в вычисляемом Lotus Notes значении, добавив квадратные скобки («[" и "]») в начало и конец поля для некоторых типов данных. Подробности на странице www.securityfocus.eom/bid/l 1458.

Ошибка при контроле входных данных в сценарии isqlplus, входящем в состав Oracle HTTP Server, позволяет удаленному пользователю провести атаку с кросс–сайтовым сценарием

И на этот раз у бюллетеня отсутствует номер. Oracle HTTP Server основан на сервере Apache 1.3.x. В сценарии isqlplus есть XSS–ошибка, связанная с недостаточным контролем значений параметров «action», «username» и «password». Атака может выглядеть примерно так:

...

http://[target]isqlplus?action=logon&username=xyzzy%22%3e%3cscript%3e

alert('XSS')%3c/script%3e&password=xyzzy%3cscript%3ealert('XSS')%3c

/script%3e

Подробности на странице www.securitytracker.com/alerts/2004/Jan/1008838.html.

CVE–2002–0840

XSS–уязвимость на стандартной странице с сообщением об ошибке в Apache 2.0 до версии 2.0.43 и в Apache 1.3.x до версии 1.3.26. Подробности на странице http://cert.uni–stuttgart.de/archive/bugtraq/2002/10/msg00017.html.

Искупление греха

Путь к искуплению состоит из двух шагов:

1) не допускайте некорректных входных данных. Для проверки обычно применяются регулярные выражения;

2) при выводе данных применяйте HTML–кодирование.

Необходимо принимать обе эти меры предосторожности в своих программах. В приведенных ниже примерах показано, как это делается на практике.

Искупление греха в ISAPI–расширениях и фильтрах на C/C++

Во фрагменте ниже приведен код для HTML–кодирования информации, отправляемой браузеру.

...

/////////////////////////////////////////////////////////////////

// HtmlEncode

// Кодирует поток HTML-данных

// Аргументы

// strRaw: указатель на необработанные HTML-данные

// result: ссылка на результат, хранящийся в std::string

// Возвращаемое значение:

// false: не удалось закодировать HTML-данные

// true: все HTML-данные закодированы

bool HtmlEncode(char *strRaw, std::string &result) {

size_t iLen = 0;

size_t i = 0;

if (strRaw && (iLen = strlen(strRaw))) {

for (i = 0; i < iLen; i++)

switch(strRaw[i]) {

                     case '' : break;

                     case '<' : result.append("&lt;"); break;

                     case '>' : result.append("&gt;"); break;

                    case '(' : result.append("&#40;"); break;

                    case ')' : result.append("&#41;"); break;

                    case '#' : result.append("&#35;"); break;

                    case '&' : result.append("&amp;"); break;

                    case '"' : result.append("&quot;"); break;

                    default : result.append(1,strRaw[i]); break;

}

}

return i == iLen ? true : false;

}

Если вы хотите пользоваться регулярными выражениями в программах на C/C++, то обратите внимание на класс CAtlRegExp, предлагаемый Microsoft, или на библиотеку Boost.Regex, документированную на странице http://boost.org/ libs/regex/doc/syntax.html.

Искупление греха в ASP

Применяйте сочетание регулярных выражений (в данном случает объект RegExp в сценарии на VBScript) и HTML–кодирования для проверки входных данных:

...

<%

name = Request.QueryString("Name")

Set r = new ReqExp

r.Pattern = "^w{5,25}$"

r.IgnoreCase = True

Set m = r.Execute(name)

If (len(m(0)) > 0) Then

Response.Write(Server.HTMLEncode(name))

End If

%>

Искупление греха в ASP. NET

Приведенный ниже код аналогичен предыдущему примеру, но для сопоставления с регулярным выражением и HTML–кодирования используется язык С# и библиотеки, входящие в каркас .NET Framework.

...

using System.Web; // Необходимо добавить ссылку на сборку System.Web.dll

...

private void btnSubmit_Click(object sender, System.EventArgs e)

{

Regex r = new Regex(@"^w{5,25}");

if (r.Match(txtValue.Text).Success) {

Application.Lock();

Application.txtName.Text = txtValue.Text;

Application.UnLock();

lblName.Text = "Hello, " +

HttpUtility.HtmlEncode(txtName.Text);

} else {

lblName.Text = "Кто вы?";

}

}

Искупление греха в JSP

В JSP имеет смысл использовать нестандартный тег. Вот код тега, осуществляющего HTML–кодирование:

...

import java.IO.Exception;

import javax.servlet.jsp.JspException;

import javax.servlet.jsp.tagext.BodyTagSupport;

public class HtmlEncoderTag extends BodyTagSupport {

public HtmlEncoderTag() {

super();

}

public int doAfterBody() throws JspException {

if (bodyContent != null) {

System.out.println(bodyContent.getString());

String contents = bodyContent.getString();

String regExp = new String("^\w{5,25}$");

// Сопоставить с регулярным выражением

if (contents.matches(regExp)) {

try {

bodyContent.getEnclosingWriter().write(contents);

} catch (IOException e) {

System.out.println("Ошибка ввода/вывода");

}

return EVAL_BODY_INCLUDE;

} else {

try {

bodyContent.getEnclosingWriter().write(encode(contents));

} catch (IOException e) {

System.out.println("Ошибка ввода/вывода");

}

System.out.println("Содержимое: " + contents.toString());

return EVAL_BODY_INCLUDE;

}

} else {

return EVAL_BODY_INCLUDE;

}

}

// В JSP нет функции для HTML-кодирования

public static String encode(String str) {

Перейти на страницу:

Дэвид Лебланк читать все книги автора по порядку

Дэвид Лебланк - все книги автора в одном месте читать по порядку полные версии на сайте онлайн библиотеки kniga-online.club.


19 смертных грехов, угрожающих безопасности программ отзывы

Отзывы читателей о книге 19 смертных грехов, угрожающих безопасности программ, автор: Дэвид Лебланк. Читайте комментарии и мнения людей о произведении.


Уважаемые читатели и просто посетители нашей библиотеки! Просим Вас придерживаться определенных правил при комментировании литературных произведений.

  • 1. Просьба отказаться от дискриминационных высказываний. Мы защищаем право наших читателей свободно выражать свою точку зрения. Вместе с тем мы не терпим агрессии. На сайте запрещено оставлять комментарий, который содержит унизительные высказывания или призывы к насилию по отношению к отдельным лицам или группам людей на основании их расы, этнического происхождения, вероисповедания, недееспособности, пола, возраста, статуса ветерана, касты или сексуальной ориентации.
  • 2. Просьба отказаться от оскорблений, угроз и запугиваний.
  • 3. Просьба отказаться от нецензурной лексики.
  • 4. Просьба вести себя максимально корректно как по отношению к авторам, так и по отношению к другим читателям и их комментариям.

Надеемся на Ваше понимание и благоразумие. С уважением, администратор kniga-online.


Прокомментировать
Подтвердите что вы не робот:*
Подтвердите что вы не робот:*