编 写:袁 亮
时 间:2015-10-09
说 明:web安全规范 - 2、基本安全防御
一、外部输入过滤
1、所有外部参数,必须经过处理过滤
get参数、post参数($_REQUEST)、cookie数据,$_SERVER中的referer,ua,ip等数据
2、所有过滤,以服务端验证为准,js客户端验证仅仅是为了增强用户体验
不允许仅仅是在js加了判断验证,服务端没有
3、只允许使用过滤后的数据,不允许在后面再使用过滤前的原始参数
$p = isset($_GET['p'])?intval($_GET['p']):1; //过滤参数
后面只允许只用$p,不允许出现任何直接调用$_GET['p']的地方
4、过滤方法
4.1 整型参数,一律采用intval转换
4.2 短字符串,采用正则验证,常用正则百度,或者参考统一类库
比如手机号、用户名、邮箱、邮编等等
4.3 长字符串,非富文本
比如个人介绍等,过滤html标签(strip_tags),再加过滤sql注入函数(stripSql)
如果没有验证完全,或者不确定,可以使用mysql_escape_string()进行转义
4.4 富文本编辑器的长字符串内容
htmlspecialchars
采用统一函数或者类库验证过滤
4.5 这块详见附件 web安全规范 - 参数过滤
5、严禁使用register_global、extract函数,php配置中也不允许开启register_global
也不允许自己写代码,将外部变量全部变成内部变量,很多旧项目中就有
也不要开启magic_quotes,在需要的时候使用addslashes转义
二、报错信息
1、错误信息只能显示我们定义的对用户友好的内容,不允许显示与实际错误相关的内容
2、线上不允许开启报错,包括php.ini和程序中的display_errors
3、特别要注意,类似mysql_error等,只允许记log,不允许输出到页面
4、必须要记录日志,这是之后排查的唯一依据
5、日志不允许web直接访问到
6、更多报错相关信息,请参考内部博客
http://blog.geekman.vip/archives/27
三、数据存储
1、log文件不允许存储在web能访问的地方
2、cookie记录
2.1 必须设置httponly属性,防止js读取
2.2 cookie中不允许存储敏感数据,比如用户密码或者邮箱,手机号等
2.3 cookie内容必须添加签名,并存储,验证cookie的时候必须比对签名是否正确
3、数据库存储用户密码
3.1 不允许存储明文密码
3.2 必须添加盐值做散列
4、cookie、session等用户登录凭证,需要设置过期时间,防止被劫持之后,一直有效
5、注意加密算法和编码、散列的区别
不要误拿编码做加密(base64、urlencode等等)
不要使用自己编写的加密算法,采用成熟的高安全性算法
6、日志文件中,不允许记录密码、银行账号等敏感数据
四、数据签名
1、签名做法可以参考内部博客
http://blog.geekman.vip/archives/46
2、cookie存储需要签名
3、写接口必须加签名
4、敏感的读数据接口也必须添加签名验证,比如用户邮寄地址等
五、防暴力破解
1、用户登录等危险操作必须考虑暴力破解的情况
2、连续错误次数达到一定次数,则需要一个封禁时间
3、同一个ip同时对多个账号多次尝试也需要处理
4、发现有人暴力破解的时候,需要有报警机制,比如邮件、短信等
六、业务逻辑bug
1、发布的时候,进行了相应的过滤,但是编辑的时候未处理,也会导致bug
2、修改密码的时候,不进行验证,直接修改
3、购买商品的时候,价格直接通过参数传递结算
4、找回密码的时候,通过安全问题来验证,但是安全问题可以在登陆的时候直接修改
5、这些业务逻辑的bug,需要在需求、开发阶段就要多想想,特别是一些比较危险的操作
七、越权访问
1、所有后台、管理员操作的地方必须要经过权限验证
2、所有验证必须是通过服务端验证,不允许采用js隐藏,不显示按钮等来完成
3、每次都必须验证,不要指望在入口那边验证过了,操作的时候就可以不验证
4、权限验证,不要寄希望与链接、入口别人不知道,浏览器插件、搜索引擎,都有可能泄露
5、特别要注意调用接口的地方,不要遗漏
6、所有操作,都必须想想,这是不是一个所有人都可以任意访问的资源,如果不是,都需要权限验证
八、服务器安全
1、mysql资源
1.1 除非特殊申请,否则主库增删改查权限,从库查权限
1.2 给定权限的时候,必须限制ip,一般是内网固定某台
2、web服务
不允许使用root账号启动,比如apache等(我们的云主机上有见过root启动的)
不要安装不用的扩展,很多扩展是有高危漏洞的
3、redis、memcache资源
需要绑定ip,一般是内网
也可设置加账号密码访问
4、严禁rm -rf命令,同学的同事有过rm -rf之后,损失一个亿的教训
5、程序源码被直接显示出来
解析不当+程序员操作不当,导致.bak文件等直接源码显示出来
6、.svn文件夹等,直接可以遍历扫描
7、web访问目录层级,web不允许直接访问到项目代码根目录
/项目代码根目录/webroot/
九、文件上传
1、上传文件的存储目录,不允许给执行权限【最重要】
2、上传图片采用其他域名访问,与web服务域名分开
3、文件扩展名白名单过滤
4、存储文件名必须系统生成,不允许用户自定义
5、想了解更多,可以参考内部博客
http://blog.geekman.vip/archives/301
十、不要调用系统命令
1、不要在web服务中调用shell命令,比如exec,system,eval之类的
2、实在要用,shell命令的参数不要是通过web参数带过来的,否则很容易导致系统被攻破
十一、测试环境
1、重要项目,必须有搭建测试环境(可以在本地搭建)
2、测试环境的数据库、memcache等资源也必须是用的测试的
3、不要把调试后门给上传到了线上,因为不知道哪天调试后门就会被人非法访问了
不要觉得你这个链接从来没公布出去别人不知道,有个东西叫浏览器插件,还有个东西叫抓包
十二、跳转链接
1、登陆等callback页面,必须要对callback后的链接进行验证
否则给用户发了一个育儿网的链接,结果用户登陆之后跳到一个恶意网站,在恶意网站提示用户账户密码错误,请重新输入,然后就会导致用户账户密码被盗
2、进行有根据用户的referer来进行跳转的,referer中的链接也需要验证,可以随意伪造