隨著數(shù)據(jù)泄露事件的頻繁發(fā)生,創(chuàng)建和維護(hù)安全的軟件產(chǎn)品對(duì)于每一個(gè)組織來說��,都變得越來越重要了���。盡管并非所有的攻擊都可以被預(yù)期或防范,但是我們至少可以通過消減軟件的漏洞��,來避免攻擊的暴露面�����。
在本文中,您將了解一些最為常見的軟件漏洞����,以及如何避免它們的方法。此外���,您還會(huì)學(xué)習(xí)到如何采用一些通用的優(yōu)秀實(shí)踐����,來確保軟件和數(shù)據(jù)的安全�。
常見的軟件漏洞
2019年,MITRE.org的CWE(Common Weakness Enumeration���,通用缺陷列表)推出了25項(xiàng)最危險(xiǎn)的軟件錯(cuò)誤列表�����。盡管攻擊者的手法五花八門��,但實(shí)際上卻是萬變不離其宗地組合了各種常見的攻擊方式��。在此我們將重點(diǎn)討論其中的幾個(gè)常見軟件漏洞��。
緩沖區(qū)溢出(Buffer Overflow)
當(dāng)您的程序試圖讀取或?qū)懭氤龇秶木彌_區(qū)時(shí)��,就會(huì)發(fā)生緩沖區(qū)溢出的錯(cuò)誤�����。其直接的危害是:可能導(dǎo)致數(shù)據(jù)覆蓋�����,或是在現(xiàn)有的代碼中附加不該出現(xiàn)的數(shù)據(jù)�。因此,緩沖區(qū)溢出可以使得攻擊者通過執(zhí)行代碼���,來更改程序流�����,進(jìn)而讀取某種敏感數(shù)據(jù),或造成系統(tǒng)的崩潰�����。
緩沖區(qū)溢出漏洞的典型示例包括:
接受各種長度不受限制的輸入允許從無效的索引處對(duì)數(shù)組進(jìn)行讀取操作緩沖區(qū)溢出漏洞通常潛藏在軟�����、硬件體系架構(gòu)的設(shè)計(jì)、實(shí)施����、以及操作階段。這些漏洞最常見于C����、C ++和Assembly程序中。當(dāng)然�,它也可能出現(xiàn)在缺乏對(duì)內(nèi)存管理提供支持的任何一種編程語言里。
針對(duì)緩沖區(qū)溢出漏洞的預(yù)防措施
如上文所述�����,我們應(yīng)當(dāng)盡量選擇諸如:Java或Perl等具有防范����,或降低此類漏洞風(fēng)險(xiǎn)機(jī)制的語言。而在C#之類的編程語言中���,我們千萬不要禁用溢出保護(hù)的選項(xiàng)�。即便如此���,那些具有“免疫”功能的編程語言��,也可能會(huì)在運(yùn)行環(huán)境中的易受攻擊的���、原生代碼交互時(shí)�����,產(chǎn)生不可預(yù)期的錯(cuò)誤�����。
為了防止緩沖區(qū)溢出漏洞被利用��,您可以使用諸如Visual Studio或StackGuard之類的編譯器����,來針對(duì)函數(shù)或擴(kuò)展名進(jìn)行輸入的限制����。同時(shí),您還可以使用各種工具�,在內(nèi)存中隨機(jī)地排列程序的不同組件���,以使得地址更難以被識(shí)別與預(yù)測(cè)����,進(jìn)而使攻擊者難以利用到這些特定的組件。
另外�,請(qǐng)創(chuàng)建代碼時(shí)確保正確地分配緩沖區(qū)空間,并使用各種方法和功能來限制輸入的大小��。
不當(dāng)?shù)妮斎腧?yàn)證(Improper Input Validation)
如果我們不能夠在接收端對(duì)用戶的輸入采取驗(yàn)證���,或驗(yàn)證不足��,那么就會(huì)產(chǎn)生所謂的“輸入驗(yàn)證不當(dāng)”�。而不當(dāng)?shù)尿?yàn)證則會(huì)使得攻擊者通過執(zhí)行惡意代碼�����,來更改程序流���,訪問敏感數(shù)據(jù)���,以及濫用現(xiàn)有的資源分配。
不當(dāng)驗(yàn)證的典型示例包括:
自認(rèn)為攻擊者無法訪問到隱藏的表單字段僅驗(yàn)證輸入的字段的長度�����,而不是具體內(nèi)容不當(dāng)?shù)尿?yàn)證同樣會(huì)潛藏在軟、硬件體系架構(gòu)的設(shè)計(jì)和實(shí)施階段���。它可以發(fā)生在任何接受外部數(shù)據(jù)的編程語言或系統(tǒng)中���。
不當(dāng)驗(yàn)證漏洞的預(yù)防措施
我們應(yīng)該對(duì)任何用戶采取“零信任(zero trust)”的原則,并假設(shè)所有的輸入都是可疑的���,直到它們被證明是安全的為止���。同時(shí),我們可以使用白名單機(jī)制�,來確保輸入的內(nèi)容僅包含了可接受的格式與信息。
因此�����,在驗(yàn)證輸入時(shí)�����,請(qǐng)?jiān)u估其長度��、類型���、語法���、以及邏輯上的符合性(即:輸入是否具有語義)。您可以使用多種工具來確保完成了充分的驗(yàn)證��,例如:OWASP ESAPI Validation API和RegEx(RegularExpression�����,正則表達(dá)式)�。這些工具可以幫助我們驗(yàn)證所有的輸入源,包括:環(huán)境變量��、查詢��、文件�、數(shù)據(jù)庫、以及API調(diào)用�。
此外,我們應(yīng)當(dāng)確保在客戶端和服務(wù)器端都執(zhí)行相應(yīng)的檢查�。為了避免出現(xiàn)客戶端驗(yàn)證被繞過的情況,我們需要重點(diǎn)在服務(wù)器端捕獲各項(xiàng)輸入���,以識(shí)別攻擊者的潛在操縱�����。同時(shí)���,在程序代碼進(jìn)行任何必要的組合或轉(zhuǎn)換后�,也請(qǐng)您再次驗(yàn)證其輸入�����。
信息泄露(Information Exposure)
數(shù)據(jù)被有意或無意地提供給潛在攻擊者�,被稱為信息泄露。除了泄露敏感的數(shù)據(jù)信息�����,向攻擊者提供可能被利用的軟�����、硬件環(huán)境信息也是一種泄露�����。
信息泄露的典型示例包括:
錯(cuò)誤地暴露文件或程序的完整路徑程序的錯(cuò)誤、異常消息中暴露了數(shù)據(jù)庫中用戶的相關(guān)信息信息泄露漏洞依然會(huì)潛藏在軟���、硬件體系架構(gòu)的設(shè)計(jì)和實(shí)施階段��。它跟編程語言無關(guān),更大程度上取決于編程的習(xí)慣�。
信息泄露漏洞的預(yù)防措施
為防止信息的泄露,您應(yīng)當(dāng)在設(shè)計(jì)程序架構(gòu)時(shí)�,針對(duì)明確的信任邊界區(qū)域(,來保護(hù)敏感的信息�;通過使用訪問控制,來保護(hù)和限制“安全”區(qū)域與各個(gè)端點(diǎn)之間的連接�����。
為了最大程度地避免該漏洞�����,請(qǐng)?jiān)诔绦蛑序?yàn)證各類錯(cuò)誤的提示消息���,以及用戶警告信息中是否包含有不必要暴露的內(nèi)容��。同時(shí)�,您還應(yīng)該限制在URL和通信包的頭部(header)出現(xiàn)的敏感信息。例如:您可以隱藏完整的路徑名稱�,以及API密鑰。
特權(quán)或認(rèn)證不當(dāng)(Improper Privileges or Authentication)
如果未能正確地分配��,跟蹤�,修改或驗(yàn)證用戶的相關(guān)權(quán)限和憑據(jù),那么就可能發(fā)生特權(quán)或身份驗(yàn)證不當(dāng)?shù)那闆r�����。此類漏洞可以讓攻擊者濫用特權(quán)�����,執(zhí)行受限的任務(wù)�����,以及訪問受限的數(shù)據(jù)�����。
特權(quán)或身份驗(yàn)證不當(dāng)?shù)牡湫褪纠ǎ?/SPAN>
未及時(shí)回收臨時(shí)的提權(quán)僅通過黑名單���、而不是白名單來限制特權(quán)允許較低的特權(quán)級(jí)別去影響較高的特權(quán)帳戶�,例如:重置管理員的密碼限制登錄嘗試的次數(shù)或會(huì)話空閑時(shí)間特權(quán)或身份驗(yàn)證漏洞仍然可能發(fā)生在軟、硬件體系架構(gòu)的設(shè)計(jì)��、實(shí)施�、以及操作階段。它同樣不限于某一種編程語言���。
特權(quán)或身份驗(yàn)證漏洞的預(yù)防措施
您應(yīng)當(dāng)將“最小特權(quán)原則”��,應(yīng)用于與目標(biāo)軟件和系統(tǒng)交互的所有用戶和服務(wù)之中。只給真正需要某些資源和操作的用戶或服務(wù)�����,完成所需任務(wù)的最少權(quán)限����。我們需要通過在整個(gè)程序和環(huán)境中使用訪問控制,來限制用戶和實(shí)體的權(quán)限�。
如有可能,我們也可以將高級(jí)特權(quán)分給多個(gè)角色�����。通過分離,我們可以有效地削弱“高級(jí)用戶”����,并降低攻擊者濫用其訪問權(quán)限的能力。此外��,您還可以運(yùn)用多因素身份驗(yàn)證的方法�����,來防止攻擊者繞過系統(tǒng)的檢查機(jī)制���,輕松地獲得訪問權(quán)限�����。
減少一般性漏洞的優(yōu)秀實(shí)踐
除了采取針對(duì)特定漏洞的措施之外���,我們還應(yīng)該利用一些通用的措施,在總體上減少漏洞的暴露面��。您可以從如下方面入手:
從威脅情報(bào)中學(xué)習(xí)
持續(xù)監(jiān)控和使用來自漏洞數(shù)據(jù)庫(vulnerability databases)和獨(dú)立監(jiān)督組(如:OWASP或NIST)的消息����。這些資源可以在出現(xiàn)漏洞后�,及時(shí)地為您提供該漏洞的相關(guān)信息�,并能夠指導(dǎo)您如何解決或緩解當(dāng)前存在的問題。據(jù)此���,您可以根據(jù)實(shí)際情況�����,準(zhǔn)確地修補(bǔ)目標(biāo)系統(tǒng)及其組件�。
謹(jǐn)慎地包含依賴性
請(qǐng)確保僅在需要時(shí)才去使用那些已經(jīng)過審核����、且值得信任的庫和框架。某些不知名的工具會(huì)將其自身的漏洞傳遞到您的軟件中����,并且會(huì)給攻擊者提供潛在的訪問后門��。而且��,在使用選定的庫和框架時(shí)���,請(qǐng)確保您已經(jīng)充分了解了可用的功能��,以及那些已知的漏洞與缺陷���。
執(zhí)行漏洞評(píng)估
永遠(yuǎn)不要盲目地認(rèn)為自己的程序已經(jīng)“固若金湯”����,請(qǐng)不斷通過靜態(tài)代碼和動(dòng)態(tài)運(yùn)行時(shí)(runtime)的測(cè)試��,以確保各種遺留的漏洞能夠得到及時(shí)的評(píng)估����。只有將自動(dòng)測(cè)試工具集成到現(xiàn)有開發(fā)環(huán)境中,您才能盡早地發(fā)現(xiàn)漏洞��。據(jù)此�����,您可以確保自己不會(huì)因?yàn)闀r(shí)間的限制而跳過某些重要的測(cè)試��,也不會(huì)因?yàn)槿藶榈腻e(cuò)誤而忽略掉應(yīng)有的測(cè)試��。
總結(jié)
綜上所述�����,軟件漏洞可謂層出不窮,顯然無法趕盡殺絕��。我們能做的只有通過了解漏洞的原理和防范的措施���,來及時(shí)地調(diào)整自己的實(shí)現(xiàn)方式����,并開展全面的測(cè)試�,盡量在產(chǎn)品發(fā)布之前,盡可能多地發(fā)現(xiàn)并解決潛在的漏洞與問題���。希望本文在上面所介紹到的各種最常見漏洞�����,以及在軟件開發(fā)中推薦采用的實(shí)踐和方法���,能夠幫助您減少攻擊者乘虛而入的機(jī)會(huì)�。
