如何编写安全代码?保护自己免受注入攻击!我已经在这个问题上工作了好几个月,试图理解是什么让代码变得脆弱,现在,我收到了这个简单的答案 - 糟糕的编程习惯。现在这看起来很明显,但编程…
如何撰写安全编码?保护自己免遭打针进攻! 我已经在这个问题上工作了几个月,尝试理解是什么让编码变得敏感,现在我接到了这个简单的参考答案 - 错误的程序编写习惯。现在这看上去很明显,但程序编写小区的一大部分依然对这个客观事实一无所知。
搞清楚问题! 我的意思是渗透测试,有一个专业的团队负责搭建手机应用程序的安全系数是令人震惊的,总是值得尊敬,但它并不是每个人都负担得起的。大企业可以吹捧他们的安全实践活动,以及怎么让团队全天工作以保证客户网络信息安全,但是那些没有资源的人。
在程序猿中,最重要的手机应用程序(比如银行,航空公司和网上购物商城)中出现这些易受攻击的编码的最大原因之一。
最后每行肯定会让很多人得罪,要我说也没有蓄意进攻一个小区。
我不想这样做,因为这不是他们的错。在当前的程序编写时代,代码执行时间需要尽量低,并且完全可以理解他们绕过这些部分来提高编码。 所以,我开始记笔记并帮助程序猿撰写安全编码。我将试着包含程序猿为保持编码安全而进行的不同类型的进攻和小调整,便于他们的组织不用再度掏钱来保证手机应用程序的安全。我想要今天我已经足够了,所以让我们粗俗了。 我们来挖! 要我开始我的界定引入及其发生的原因。网络攻击键入故意有效负荷,可以蒙骗解释器实行出现意外指令或浏览没经受权的数据。引入缺点的发生由于没受信赖的数据作为指令或查寻的一部分直接发送至解释器,而没有唯一的原因来检查或清除造成所有问题的有效负荷。 在文中中,我将介绍几种不同类型的引入进攻和方法,您可以使用它们来阻拦它们: SQL引入 这种类型的进攻主要发生在网络攻击在句子结尾加上单独引号(')时,将AN加上到句子后的真值数量。简单地说,SQL有效负荷看上去像这样 '或1 = 1 - 加上到查寻中的上述句子可以帮助网络攻击获得对详细数据库查询的访问限制。为了让您尽快理解下面的查寻,它将为网络攻击提供整个数据库查询。 SELECT * FROM 用户 WHERE 登录名 ='Aditya'AN 1 = 1-- 看一下下面的编码,并试着搞清楚它是否容易受到SQL引入进攻。
如果您认为上述编码是安全的,那么您必须继续阅读文章文中。
编码不安全的原因是网络攻击键入的值直接作为参数传递。只要键入了预估值,但用户的键入可能包括%1 $ tm,%1 $ te和%1 $ tY文件格式说明符,情况就就行了。 如果网络攻击为args [0]传到值%1 $ tm,
5不配对!提示:它于当月23日公布。 // 5是用户需要知道的月份。 您可以看该程序本身将在信用卡到期时间公布。 为避免该类进攻,以下编码非常有效。
两个编码之间的唯一区别是,在第一个编码中,网络攻击键入的值直接传送给程序,而在下一个编码中,我们不是传送值,而是直接打印它,使整个进攻没用。
防止SQL引入进攻应该涉及到键入认证。我们必须检查用户键入的值,并且我们必须自始至终假定这些值没受信赖,即它们可能会损害手机应用程序。 我们必须使用含有关联自变量的参数化查寻并清除用户键入的值。
参数化和防御力编码 在图中中,我们可以看传送的值怎样在编码使用之前首先被消除。
2.指令引入 这是最风险的打针进攻类型之一,在今天的场景中依然很常见,并没有引起过多关注。此漏洞利用此系统漏洞,容许网络攻击键入和实行手机应用程序不期待的指令。 要我与您分享一个实例,以显示指令引入进攻的基本实现。
我们观察到有一个文本框,我们需要键入主机名/ iP,随后我们将获得有关ip地址的详细资料,随后将其展现让我们。 整个手机应用程序看上去比较简单,但它非常容易受到编码引入的影响。要理解我们首先需要搞清楚手机应用程序是如何工作的,那么我们可以试着找到随后我们就能理解编码引入是如何工作的。 当你键入主机名/ iP时,手机应用程序实际启用终端设备,随后从那边向我们显示輸出。与终端设备一起工作的人知道我们可以使用&& amp;在终端设备中传送两个不同的指令。
因此,图中显示了编码引入的准确方式。为了防止这种类型的进攻,手机应用程序需要实行相对路径认证(规范性后跟绝对路径检查),并且手机应用程序还需要实行键入认证并枚举容许用户键入和实行的指令。 枚举{dir,Cd,cls} 3. JSON引入 这是一次重要的引入进攻,近些年接口文档在手机应用程序中的使用有所增加。当接口文档发出请求并响应查寻时,我们将有效负荷引入传送的JSON查寻时,JSON引入工作。
这个事例非常容易理解。此手机应用程序有一个下拉列表,您需要从文中选择PenTest工具选择项。该手机应用程序将显示您选择的PenTest工具的详细资料。 因此,让我们试着了解这个手机应用程序的原理。让我们打开暴发模块并阻拦来源于手机应用程序的恳求。
因此,在图中中,我们可以看ToolId正在恳求查寻中上传,我们将有效负荷加上到ToolId以检查它是否在响应查寻中反映让我们。
我们的确接到了我们在恳求查寻中引入的有效负荷,因此我们可以保证我们的引入进攻将通过。让我们实行进攻有效负荷并确定进攻是有效的。 要查看我们之前接到的回应,让我们传送此值以获得cookie值。 “}}); alert(document.cookie); // 在传送主要参数中的值之前,我们进行网页地址-encode以避免可能已经置放的任何特殊符号限制。
我们可以清楚地见到cookie值已经在警示?蛑蟹祷馗颐牵啡瞎セ饕丫チ恕?
我们需要在电脑浏览器中检查进攻的具体情况,并根据需要显示cookie详细资料。
防止JSON引入进攻的最有效方法是在JavaScript上实现编号技术。
OWASP还提供用以字符串认证的JSON农药杀菌剂。 字符串 someValidation = JsonSanitizer.sanitize(myJsonString); 安全防御力 我们可以做的最想做的事情是防止引入进攻发生,换句话说,相信来源于手机客户端的任何和所有键入都可能是进攻。大部分程序猿理所应当地认为用户键入不会损害造成手机应用程序中大部分系统漏洞的手机应用程序。必须认证消费者的每个键入,并且必须在使用手机应用程序之前认证键入。用户键入的值决不能直接传送给程序。 如果程序猿记牢这些东西,他们当然可以防御力大部分引入进攻。
