Hướng dẫn lập trình an toàn cho ứng dụng Web - Đinh Hữu Công

Nội dung text: Hướng dẫn lập trình an toàn cho ứng dụng Web - Đinh Hữu Công

1. Đinh Hữu Công Ban An toàn thông tin Hà Nội, 01/2012 1
2. Nội dung ◆Phần I: An toàn thông tin (ATTT) cho ứng dụng web ◆Phần II: Hướng dẫn lập trình an toàn ◆Phần III: Thực hành ◆Phần IV: Thảo luận Ban An toàn thông tin 2
3. Phần I: ATTT cho ứng dụng web 1 Tổng quan 2 Kiểm soát dữ liệu đầu vào 3 Kiểm soát dữ liệu đầu ra 4 Kiểm soát truy vấn database 5 Kiểm soát thao tác với file Ban An toàn thông tin 3
4. 1. Tổng quan ◆ATTT cho ứng dụng Web: Đảm bảo ứng dụng web không bị tấn công gây hại cho hệ thống và người dùng ◆Mô hình ứng dụng web, các nguy cơ và cách phòng chống Ban An toàn thông tin 4
5. 1. Tổng quan Kiểm soát - SQL Injection Kiểm soát - SQL Injection dữ liệu - XSS truy vấn - Mã hóa dữ đầu vào - CSRF Database liệu - Lỗi phân quyền - Path traversal Query Database Request Web Web App Browser Response I/O File Kiểm soát - XSS Kiểm soát dữ liệu Thao tác với - Path Traversal đầu ra file - Upload, download CácThựcMô hìnhnguyhiệnứngcơphòngbịdụngtấnchốngcôngweb Ban An toàn thông tin 5
6. 2. Kiểm soát dữ liệu đầu vào ◆Khái niệm ◼ Dữ liệu do người dùng nhập vào được truyền lên server ◼ Mọi cuộc tấn công đều phải thông qua dữ liệu đầu vào ◆Nguy cơ: SQL Injection, XSS (Cross Site Scripting) , CSRF (Cross Site Request Forgery), Path Traversal, lỗi phân quyền ◆Thực hiện ◼ Chỉ chấp nhận dữ liệu hợp lệ ◼ Kiểm tra phía server là cần thiết ◼ Kết hợp các tiêu chuẩn kiểm tra ◼ Kiểm tra độ dài xâu là tiêu chuẩn nhanh và hiệu quả Ban An toàn thông tin 6
7. 3. Kiểm soát dữ liệu đầu ra ◆Khái niệm ◼ Là nội dung server trả về HTML cho web browser ◼ Chứa input người dùng nhập vào ◼ Chứa kết quả truy vấn database ◆Nguy cơ:Lỗi trong quá trình output các dữ liệu sang HTML gây ra lỗi Cross-Site Scripting (XSS) ◆Thực hiện: Lọc các ký tự đặc biệt khi output Ban An toàn thông tin 7
8. 4. Kiểm soát truy vấn database ◆Khái niệm ◼ Truy xuất dữ liệu của ứng dụng web trong database ◼ Là thao tác chủ yếu trong ứng dụng web ◼ Ngôn ngữ truy vấn: SQL, HQL ◆Nguy cơ ◼ SQL Injection: Lỗi trong quá trình tạo câu query ◼ Mã hóa không an toàn: Lỗi trong cách tổ chức dữ liệu ◆Thực hiện ◼ Gán tham số cho các câu truy vấn database ◼ Mã hóa an toàn Ban An toàn thông tin 8
9. 5.Kiểm soát thao tác với file ◆Khái niệm ◼ Các thao tác đọc ghi file trên server ◆Nguy cơ: Lỗi liên quan đến việc xử lý đường dẫn file ◼ Phần mở rộng của file ◼ Chứa xâu \, / : Chuyển đến thư mục cha ◼ Ký tự NULL: Kết thúc xâu đường dẫn ◆Thực hiện ◼ Chặn các kí tự không hợp lệ trong tên file ◼ Chỉ cho phép upload các file có phần mở rộng hợp lệ Ban An toàn thông tin 9
10. Phần II: Hướng dẫn lập trình an toàn 1 Tổng quan 2 Phòng chống SQL Injection 3 Phòng chống XSS 4 Phòng chống CSRF 5 Phòng chống lỗi thao tác file 6 Phòng chống lỗi mã hóa dữ liệu 7 Phòng chống lỗi phân quyền 18 Phòng chống lỗi phân quyền Ban An toàn thông tin 10
11. 1. Tổng quan ◆Tài liệu do tập đoàn ban hành ◆Mục tiêu: Phòng chống các lỗi cụ thể khi phát triển ứng dụng web: SQL Injection, XSS, CSRF, lỗi thao tác với file, lỗi mã hóa dữ liệu, lỗi phân quyền ◆Đối tượng áp dụng: Nhân viên phát triển ◆Nội dung ◼ Khái niệm ◼ Yêu cầu ◼ Hướng dẫn ◼ Ví dụ minh họa Ban An toàn thông tin 11
12. 2. Phòng chống SQL Injection ◆Khái niệm SQL Injection ◆Yêu cầu: ◼ Dữ liệu input từ người dùng phải được truyền dưới dạng tham số không được sử dụng cách cộng xâu trong các truy vấn tới cơ sở dữ liệu để tránh lỗ hổng SQL Injection Ban An toàn thông tin 12
13. 2. Phòng chống SQL Injection ◆Thực hiện ◼ Truy vấn SQL phải dùng PrepareStatement, tất cả tham số phải được add bằng hàm( setParam ), không được xử dụng cách cộng xâu trong truy vấn. ◼ Truy vấn HQL tất cả tham số phải được add bằng hàm( setParam ), không được xử dụng cách cộng xâu trong truy vấn ◆Ví dụ Ban An toàn thông tin 13
14. 2. Phòng chống SQL Injection select * from users where user_name=‘test’ or ‘1’=‘1’ and password=‘fsaf’ Ban An toàn thông tin 14
15. 2. Phòng chống SQL Injection Ban An toàn thông tin 15
16. 2. Phòng chống SQL Injection Đoạn code bị lỗi Ban An toàn thông tin 16
17. 2. Phòng chống SQL Injection Đoạn code an toàn Ban An toàn thông tin 17
18. 3. Phòng chống XSS ◆Khái niệm XSS (Cross Site Scripting) ◆Yêu cầu: ◼ Thực hiện xử lý với tất cả dữ liệu đầu vào nhận được từ trình duyệt, loại bỏ hoặc mã hóa dưới dạng HTML các ký tự đặc biệt do client gửi lên máy chủ: ,&,’,”,/ ◼ Xử lý các ký tự nguy hiểm trong cơ sở dữ liệu trước khi gửi tới người dùng: ,&,’,”,/ Ban An toàn thông tin 18
19. 3. Phòng chống XSS ◆Thực hiện ◼ Khi in các tham số ra HTML trong trang JSP sử dụng các hàm an toàn Hàm bị lỗi Hàm an toàn Grid: escapeHTMLInData="false" escapeHTMLInData="true" ${var} ${fn:escapeXml(var)} out.print(var) out.print(StringEscapeUtils.escapeHtml(var)) ◆Ví dụ Ban An toàn thông tin 19
20. 3. Phòng chống XSS Đoạn code bị lỗi Ban An toàn thông tin 20
21. 3. Phòng chống XSS Đoạn code an toàn Ban An toàn thông tin 21
22. 4. Phòng chống CSRF ◆Khái niệm CSRF (Cross Site Request Forgery) ◆Yêu cầu: ◼ Trong các tương tác của người dùng với cơ sở dữ liệu thông qua các form, liên kết, sử dụng thêm biến token (được tạo ra mỗi đầu phiên truy cập của người dùng) như một tham số trong phương thức GET hoặc POST và kiểm tra giá trị token này tại server để xác nhận hành vi của người dùng Ban An toàn thông tin 22
23. 4. Phòng chống CSRF ◆Thực hiện ◼ Đối với các yêu cầu quan trọng, sử dụng thêm biến token. Trên server sẽ kiểm tra token trong yêu cầu gửi lên từ client, nếu token không hợp lệ thì yêu cầu sẽ không được thực hiện ◆Ví dụ Ban An toàn thông tin 23
24. 4. Phòng chống CSRF Đoạn code bị lỗi Ban An toàn thông tin 24
25. 4. Phòng chống CSRF userName=123& struts.token.name=struts.token& struts.token=B154AN2E6MWVG74SZLZCGXN0RHF2546F Đoạn code an toàn Ban An toàn thông tin 25
26. 5. Phòng chống lỗi thao tác với file ◆Khái niệm thao tác file trong ứng dụng web ◆Yêu cầu: ◼ Chặn các kí tự \, /, null khi xử lý với tên file. ◼ Giới hạn chỉ cho phép các định dạng file theo yêu cầu của ứng dụng được phép upload lên máy chủ. Kiểm soát file upload ở phía server. Lưu trữ các file upload tại một thư mục riêng nằm ngoài thư mục web hoặc không cho phép truy cập, thực thi trên các thư mục đó Ban An toàn thông tin 26
27. 5. Phòng chống lỗi thao tác với file ◆Thực hiện ◼ Kiểm tra phía server. ◼ Kiểm soát phần mở rộng của file, chỉ cho phép thực hiện với các file có định dạng theo yêu cầu. ◼ Các hàm liên quan đọc ghi file, biến đường dẫn file phải được lọc /, \ và kí tự null ◆Ví dụ Ban An toàn thông tin 27
28. 5. Phòng chống lỗi thao tác với file Đoạn code bị lỗi Ban An toàn thông tin 28
29. 5. Phòng chống lỗi thao tác với file Đoạn code an toàn Ban An toàn thông tin 29
30. 6. Phòng chống lỗi mã hóa dữ liệu ◆Yêu cầu: ◼ Những dữ liệu nhạy cảm trong cơ sở dữ liệu cần được mã hóa ◆Thực hiện ◼ Mã hóa các dự liệu nhạy cảm trong cơ sở dữ liệu. ◼ Đối với các hàm mã hóa 1 chiều phải có thêm salt khi thực hiện mã hóa (salt là dữ liệu thêm vào plain text trước khi mã hóa) ◼ Nguyên lý: hash = encrypt(salt + pass) ◼ Ví dụ: encryptPass = SHA1(“ttpmdn” + pass) ◆Ví dụ Ban An toàn thông tin 30
31. 6. Phòng chống lỗi mã hóa dữ liệu QL0AFWMIX8NRZTKeof9cXsvbvu8= Mã hóa 1 chiều không dùng salt Ban An toàn thông tin 31
32. 7. Phòng chống lỗi phân quyền ◆Khái niệm phân quyền trong ứng dụng web ◆Yêu cầu: ◼ Kiểm tra quyền trong từng request gửi lên server ◆Thực hiện ◼ Kiểm tra quyền trong từng request gửi lên server ◼ Kiểm tra quyền thực hiện action: Sử dụng VSA ◼ Kiểm tra quyền tác động dữ liệu ◆Ví dụ Ban An toàn thông tin 32
33. 7. Phòng chống lỗi phân quyền Đoạn code bị lỗi Ban An toàn thông tin 33
34. 7. Phòng chống lỗi phân quyền Đoạn code an toàn Ban An toàn thông tin 34
35. Phần III: Thực hành Ban An toàn thông tin 35
36. Phần IV: Thảo luận ◆Question and answer Ban An toàn thông tin 36