隨著數(shù)據(jù)泄露事件的頻繁發(fā)生,創(chuàng)建和維護(hù)安全的軟件產(chǎn)品對(duì)于每一個(gè)組織來(lái)說(shuō)��,都變得越來(lái)越重要了���。盡管并非所有的攻擊都可以被預(yù)期或防范�����,但是我們至少可以通過(guò)消減軟件的漏洞�����,來(lái)避免攻擊的暴露面��。
在本文中��,您將了解一些最為常見的軟件漏洞�,以及如何避免它們的方法����。此外,您還會(huì)學(xué)習(xí)到如何采用一些通用的優(yōu)秀實(shí)踐,來(lái)確保軟件和數(shù)據(jù)的安全�����。
常見的軟件漏洞
2019年��,MITRE.org的CWE(Common Weakness Enumeration����,通用缺陷列表)推出了25項(xiàng)最危險(xiǎn)的軟件錯(cuò)誤列表。盡管攻擊者的手法五花八門����,但實(shí)際上卻是萬(wàn)變不離其宗地組合了各種常見的攻擊方式。在此我們將重點(diǎn)討論其中的幾個(gè)常見軟件漏洞�����。
緩沖區(qū)溢出(Buffer Overflow)
當(dāng)您的程序試圖讀取或?qū)懭氤龇秶木彌_區(qū)時(shí)�,就會(huì)發(fā)生緩沖區(qū)溢出的錯(cuò)誤。其直接的危害是:可能導(dǎo)致數(shù)據(jù)覆蓋��,或是在現(xiàn)有的代碼中附加不該出現(xiàn)的數(shù)據(jù)����。因此,緩沖區(qū)溢出可以使得攻擊者通過(guò)執(zhí)行代碼,來(lái)更改程序流�����,進(jìn)而讀取某種敏感數(shù)據(jù)��,或造成系統(tǒng)的崩潰�。
緩沖區(qū)溢出漏洞的典型示例包括:
接受各種長(zhǎng)度不受限制的輸入允許從無(wú)效的索引處對(duì)數(shù)組進(jìn)行讀取操作緩沖區(qū)溢出漏洞通常潛藏在軟���、硬件體系架構(gòu)的設(shè)計(jì)��、實(shí)施���、以及操作階段。這些漏洞最常見于C��、C ++和Assembly程序中�����。當(dāng)然�,它也可能出現(xiàn)在缺乏對(duì)內(nèi)存管理提供支持的任何一種編程語(yǔ)言里。
針對(duì)緩沖區(qū)溢出漏洞的預(yù)防措施
如上文所述���,我們應(yīng)當(dāng)盡量選擇諸如:Java或Perl等具有防范�,或降低此類漏洞風(fēng)險(xiǎn)機(jī)制的語(yǔ)言。而在C#之類的編程語(yǔ)言中�,我們千萬(wàn)不要禁用溢出保護(hù)的選項(xiàng)。即便如此����,那些具有“免疫”功能的編程語(yǔ)言,也可能會(huì)在運(yùn)行環(huán)境中的易受攻擊的��、原生代碼交互時(shí)�����,產(chǎn)生不可預(yù)期的錯(cuò)誤�����。
為了防止緩沖區(qū)溢出漏洞被利用��,您可以使用諸如Visual Studio或StackGuard之類的編譯器�,來(lái)針對(duì)函數(shù)或擴(kuò)展名進(jìn)行輸入的限制。同時(shí)�����,您還可以使用各種工具,在內(nèi)存中隨機(jī)地排列程序的不同組件��,以使得地址更難以被識(shí)別與預(yù)測(cè)�����,進(jìn)而使攻擊者難以利用到這些特定的組件��。
另外����,請(qǐng)創(chuàng)建代碼時(shí)確保正確地分配緩沖區(qū)空間��,并使用各種方法和功能來(lái)限制輸入的大小��。
不當(dāng)?shù)妮斎腧?yàn)證(Improper Input Validation)
如果我們不能夠在接收端對(duì)用戶的輸入采取驗(yàn)證��,或驗(yàn)證不足�,那么就會(huì)產(chǎn)生所謂的“輸入驗(yàn)證不當(dāng)”。而不當(dāng)?shù)尿?yàn)證則會(huì)使得攻擊者通過(guò)執(zhí)行惡意代碼���,來(lái)更改程序流�����,訪問(wèn)敏感數(shù)據(jù)���,以及濫用現(xiàn)有的資源分配��。
不當(dāng)驗(yàn)證的典型示例包括:
自認(rèn)為攻擊者無(wú)法訪問(wèn)到隱藏的表單字段僅驗(yàn)證輸入的字段的長(zhǎng)度�,而不是具體內(nèi)容不當(dāng)?shù)尿?yàn)證同樣會(huì)潛藏在軟�����、硬件體系架構(gòu)的設(shè)計(jì)和實(shí)施階段�����。它可以發(fā)生在任何接受外部數(shù)據(jù)的編程語(yǔ)言或系統(tǒng)中��。
不當(dāng)驗(yàn)證漏洞的預(yù)防措施
我們應(yīng)該對(duì)任何用戶采取“零信任(zero trust)”的原則�����,并假設(shè)所有的輸入都是可疑的���,直到它們被證明是安全的為止���。同時(shí)��,我們可以使用白名單機(jī)制���,來(lái)確保輸入的內(nèi)容僅包含了可接受的格式與信息。
因此���,在驗(yàn)證輸入時(shí)�����,請(qǐng)?jiān)u估其長(zhǎng)度����、類型��、語(yǔ)法�����、以及邏輯上的符合性(即:輸入是否具有語(yǔ)義)��。您可以使用多種工具來(lái)確保完成了充分的驗(yàn)證��,例如:OWASP ESAPI Validation API和RegEx(RegularExpression���,正則表達(dá)式)�����。這些工具可以幫助我們驗(yàn)證所有的輸入源�����,包括:環(huán)境變量��、查詢��、文件�����、數(shù)據(jù)庫(kù)�、以及API調(diào)用���。
此外����,我們應(yīng)當(dāng)確保在客戶端和服務(wù)器端都執(zhí)行相應(yīng)的檢查�。為了避免出現(xiàn)客戶端驗(yàn)證被繞過(guò)的情況����,我們需要重點(diǎn)在服務(wù)器端捕獲各項(xiàng)輸入�����,以識(shí)別攻擊者的潛在操縱�。同時(shí),在程序代碼進(jìn)行任何必要的組合或轉(zhuǎn)換后�,也請(qǐng)您再次驗(yàn)證其輸入。
信息泄露(Information Exposure)
數(shù)據(jù)被有意或無(wú)意地提供給潛在攻擊者����,被稱為信息泄露。除了泄露敏感的數(shù)據(jù)信息���,向攻擊者提供可能被利用的軟、硬件環(huán)境信息也是一種泄露�。
信息泄露的典型示例包括:
錯(cuò)誤地暴露文件或程序的完整路徑程序的錯(cuò)誤、異常消息中暴露了數(shù)據(jù)庫(kù)中用戶的相關(guān)信息信息泄露漏洞依然會(huì)潛藏在軟����、硬件體系架構(gòu)的設(shè)計(jì)和實(shí)施階段。它跟編程語(yǔ)言無(wú)關(guān)����,更大程度上取決于編程的習(xí)慣��。
信息泄露漏洞的預(yù)防措施
為防止信息的泄露�����,您應(yīng)當(dāng)在設(shè)計(jì)程序架構(gòu)時(shí)�����,針對(duì)明確的信任邊界區(qū)域(����,來(lái)保護(hù)敏感的信息�;通過(guò)使用訪問(wèn)控制,來(lái)保護(hù)和限制“安全”區(qū)域與各個(gè)端點(diǎn)之間的連接��。
為了最大程度地避免該漏洞���,請(qǐng)?jiān)诔绦蛑序?yàn)證各類錯(cuò)誤的提示消息��,以及用戶警告信息中是否包含有不必要暴露的內(nèi)容����。同時(shí),您還應(yīng)該限制在URL和通信包的頭部(header)出現(xiàn)的敏感信息����。例如:您可以隱藏完整的路徑名稱,以及API密鑰��。
特權(quán)或認(rèn)證不當(dāng)(Improper Privileges or Authentication)
如果未能正確地分配����,跟蹤,修改或驗(yàn)證用戶的相關(guān)權(quán)限和憑據(jù)����,那么就可能發(fā)生特權(quán)或身份驗(yàn)證不當(dāng)?shù)那闆r。此類漏洞可以讓攻擊者濫用特權(quán)�,執(zhí)行受限的任務(wù),以及訪問(wèn)受限的數(shù)據(jù)�。
特權(quán)或身份驗(yàn)證不當(dāng)?shù)牡湫褪纠ǎ?/SPAN>
未及時(shí)回收臨時(shí)的提權(quán)僅通過(guò)黑名單、而不是白名單來(lái)限制特權(quán)允許較低的特權(quán)級(jí)別去影響較高的特權(quán)帳戶�,例如:重置管理員的密碼限制登錄嘗試的次數(shù)或會(huì)話空閑時(shí)間特權(quán)或身份驗(yàn)證漏洞仍然可能發(fā)生在軟���、硬件體系架構(gòu)的設(shè)計(jì)���、實(shí)施�、以及操作階段�。它同樣不限于某一種編程語(yǔ)言。
特權(quán)或身份驗(yàn)證漏洞的預(yù)防措施
您應(yīng)當(dāng)將“最小特權(quán)原則”��,應(yīng)用于與目標(biāo)軟件和系統(tǒng)交互的所有用戶和服務(wù)之中���。只給真正需要某些資源和操作的用戶或服務(wù)��,完成所需任務(wù)的最少權(quán)限���。我們需要通過(guò)在整個(gè)程序和環(huán)境中使用訪問(wèn)控制,來(lái)限制用戶和實(shí)體的權(quán)限���。
如有可能�����,我們也可以將高級(jí)特權(quán)分給多個(gè)角色����。通過(guò)分離�,我們可以有效地削弱“高級(jí)用戶”,并降低攻擊者濫用其訪問(wèn)權(quán)限的能力。此外���,您還可以運(yùn)用多因素身份驗(yàn)證的方法���,來(lái)防止攻擊者繞過(guò)系統(tǒng)的檢查機(jī)制,輕松地獲得訪問(wèn)權(quán)限��。
減少一般性漏洞的優(yōu)秀實(shí)踐
除了采取針對(duì)特定漏洞的措施之外����,我們還應(yīng)該利用一些通用的措施,在總體上減少漏洞的暴露面���。您可以從如下方面入手:
從威脅情報(bào)中學(xué)習(xí)
持續(xù)監(jiān)控和使用來(lái)自漏洞數(shù)據(jù)庫(kù)(vulnerability databases)和獨(dú)立監(jiān)督組(如:OWASP或NIST)的消息�����。這些資源可以在出現(xiàn)漏洞后�����,及時(shí)地為您提供該漏洞的相關(guān)信息���,并能夠指導(dǎo)您如何解決或緩解當(dāng)前存在的問(wèn)題�。據(jù)此�,您可以根據(jù)實(shí)際情況��,準(zhǔn)確地修補(bǔ)目標(biāo)系統(tǒng)及其組件�。
謹(jǐn)慎地包含依賴性
請(qǐng)確保僅在需要時(shí)才去使用那些已經(jīng)過(guò)審核、且值得信任的庫(kù)和框架�。某些不知名的工具會(huì)將其自身的漏洞傳遞到您的軟件中,并且會(huì)給攻擊者提供潛在的訪問(wèn)后門��。而且�����,在使用選定的庫(kù)和框架時(shí)����,請(qǐng)確保您已經(jīng)充分了解了可用的功能,以及那些已知的漏洞與缺陷����。
執(zhí)行漏洞評(píng)估
永遠(yuǎn)不要盲目地認(rèn)為自己的程序已經(jīng)“固若金湯”,請(qǐng)不斷通過(guò)靜態(tài)代碼和動(dòng)態(tài)運(yùn)行時(shí)(runtime)的測(cè)試�,以確保各種遺留的漏洞能夠得到及時(shí)的評(píng)估。只有將自動(dòng)測(cè)試工具集成到現(xiàn)有開發(fā)環(huán)境中��,您才能盡早地發(fā)現(xiàn)漏洞。據(jù)此�����,您可以確保自己不會(huì)因?yàn)闀r(shí)間的限制而跳過(guò)某些重要的測(cè)試����,也不會(huì)因?yàn)槿藶榈腻e(cuò)誤而忽略掉應(yīng)有的測(cè)試。
總結(jié)
綜上所述�,軟件漏洞可謂層出不窮,顯然無(wú)法趕盡殺絕����。我們能做的只有通過(guò)了解漏洞的原理和防范的措施,來(lái)及時(shí)地調(diào)整自己的實(shí)現(xiàn)方式�,并開展全面的測(cè)試,盡量在產(chǎn)品發(fā)布之前��,盡可能多地發(fā)現(xiàn)并解決潛在的漏洞與問(wèn)題���。希望本文在上面所介紹到的各種最常見漏洞��,以及在軟件開發(fā)中推薦采用的實(shí)踐和方法���,能夠幫助您減少攻擊者乘虛而入的機(jī)會(huì)�����。
