25
4
Bài viết này được lọc từ mô tả văn bản của bản ghi đệ trình của dự án nguồn mở RuoYi dựa trên từ khóa lỗ hổng|bảo mật|chặn. Nó nhằm mục đích giới thiệu cho bạn một số vấn đề bảo mật cần được chú ý trong quá trình phát triển dự án hàng ngày và cách giải quyết chúng.
Bảo mật dự án là vấn đề mà mọi nhà phát triển cần chú trọng. Nếu một dự án có quá nhiều lỗ hổng sẽ dễ bị hacker tấn công và rò rỉ thông tin người dùng. Bài viết này sẽ tổng hợp 3 trường hợp điển hình để giải thích các lỗ hổng bảo mật thường gặp và giải pháp sửa chữa nhằm giúp mọi người nâng cao hơn nữa nhận thức về bảo mật trong quá trình phát triển dự án.
Có một giao diện để đặt lại mật khẩu người dùng trong dự án RuoYi. Mã trước khi gửi bản ghi dd37524b như sau:
Trung tâm cá nhân
Điều phát hành
từ bỏ
@Log(title = "Đăng nhập", businessType = BusinessType.UPDATE) @PostMapping("/resetPwd") @ResponseBody public AjaxResult resetPwd(SysUser user) { user.setSalt(ShiroUtils.randomSalt()); user.setPassword(passwordService.encryptPassword(user.getLoginName(), user.getPassword(), user.getSalt())); int rows = userService.resetUserPwd(user); if (rows > 0) { setSysUser(userService.selectUserById(user.getUserId())); return success(); } return error(); }
Có thể thấy giao diện này sẽ đọc thông tin người dùng đến. Sau khi đặt lại mật khẩu người dùng, cơ sở dữ liệu và bộ đệm sẽ được cập nhật dựa trên userId đến.
Một vấn đề bảo mật rất nghiêm trọng ở đây là tin tưởng một cách mù quáng vào thông tin người dùng đến. Nếu kẻ tấn công xây dựng một yêu cầu thông qua giao diện và đặt userId trong tham số người dùng đến thành userId của những người dùng khác, thì giao diện này sẽ khiến một số người dùng nhất định phải nhập Mật khẩu. thiết lập lại và do đó bị xâm phạm bởi những kẻ tấn công.
Nếu kẻ tấn công có userId và tên tài khoản đăng nhập của người dùng khác.
Sau khi ghi lại cam kết dd37524b, mã được cập nhật như sau:
@Log(title = "Mật khẩu đăng nhập", businessType = BusinessType.UPDATE) @PostMapping("/resetPwd") @ResponseBody public AjaxResult resetPwd(String oldPassword, String newPassword) { SysUser user = getSysUser(); if (StringUtils.isNotEmpty(newPassword) && passwordService.matches(user, oldPassword)) { user.setSalt(ShiroUtils.randomSalt()); user.setPassword(passwordService.encryptPassword(user.getLoginName(), newPassword, user.getSalt())); if (userService.resetUserPwd(user) > 0) { setSysUser(userService.selectUserById(user.getUserId())); return success(); } return error(); } else { return error("修改密码失败,旧密码错误"); } }
Giải pháp thực sự rất đơn giản. Đừng tin tưởng một cách mù quáng vào các tham số do người dùng truyền vào. Hãy lấy userId của người dùng hiện đang đăng nhập thông qua trạng thái đăng nhập. Đoạn mã trên lấy userId của người dùng hiện đang đăng nhập thông qua phương thức getSysUser() và sau đó đặt lại mật khẩu dựa trên userId.
Tải xuống tệp là một chức năng sẽ gặp trong mọi dự án phát triển web. Tôi tin rằng nó quen thuộc với mọi người. Logic tải xuống tệp của RuoYi trước khi gửi bản ghi 18f6366f như sau:
@GetMapping("common/download") public void fileDownload(String fileName, Boolean delete, HttpServletResponse response, HttpServletRequest request) { try { if (!FileUtils.isValidFilename(fileName)) { throw new Exception(StringUtils.format( "Không thể thực hiện được ({}), không thể thực hiện được nữa.", fileName)); } String realFileName = System.currentTimeMillis() + fileName.substring(fileName.indexOf("_") + 1); String filePath = Global.getDownloadPath() + fileName; response.setContentType(MediaType.APPLICATION_OCTET_STREAM_VALUE); FileUtils.setAttachmentResponseHeader(response, realFileName); FileUtils.writeBytes(filePath, response.getOutputStream()); if (delete) { FileUtils.deleteFile(filePath); } } catch (Exception e) { log.error("Không tìm thấy tệp nào", e); } } public class FileUtils { public static String FILENAME_PATTERN = "[a-zA-Z0-9_\\-\\|\\.\一-\龥]+"; public static boolean isValidFilename(String filename) { return filename.matches(FILENAME_PATTERN); } }
Bạn có thể thấy rằng khi tải xuống một tệp trong mã, nó sẽ xác định xem tên tệp có hợp pháp hay không. Nếu không hợp pháp, nó sẽ nhắc rằng tên tệp ({}) là bất hợp pháp và không được phép tải xuống. của các từ. Thoạt nhìn, có vẻ như không có vấn đề gì. Tệp tải xuống trong dự án công ty của blogger cũng có mã tương tự. Nhập tên của tệp đã tải xuống, sau đó sau khi tìm thấy tệp cần tải xuống trong thư mục đã chỉ định, hãy ghi tệp đó vào máy khách thông qua luồng ngược.
Trong trường hợp này, chúng ta hãy xem thông tin mô tả của bản ghi gửi 18f6366f. Nếu không biết, bạn sẽ bị sốc. Hóa ra trước lần gửi này, đã có một lỗ hổng tải xuống tệp tùy ý trong dự án. Sau đây blogger sẽ giải thích cho bạn lý do tồn tại lỗ hổng tải file tùy ý.
Nếu thư mục tải xuống là /data/upload/.
../../home/important files.txt /data/upload/../../home/important files.txt /home/tập tin quan trọng.txt Chúng ta hãy xem bản ghi cam kết 18f6366f chủ yếu làm gì. Mã như sau:
@GetMapping("common/download") public void fileDownload(String fileName, Boolean delete, HttpServletResponse phản hồi, HttpServletRequest request) { try { if (!FileUtils.checkAllowDownload(fileName)) { ném ngoại lệ mới(StringUtils.format( "Tên tệp ({})Bất hợp pháp, không được phép tải xuống ", fileName)); } Chuỗi realFileName = System.currentTimeMillis() + fileName.substring(fileName.indexOf("_") + 1); Chuỗi filePath = Global.getDownloadPath() + fileName; reply.setContentType(MediaType.APPLICATION_OCTET_STREAM_VALUE); FileUtils.writeBytes(filePath, reply.getOutputStream()); if (xóa) { FileUtils.deleteFile(filePath); } } Catch (Ngoại lệ e) { log.error("Không thể tải xuống tệp", e); * Kiểm tra xem tệp có thể được tải xuống không* * @param Resource Tệp sẽ được tải xuống* @return true Bình thường sai Bất hợp pháp*/ public static boolean checkAllowDownload(String Resource) { // Vô hiệu hóa mức nhảy thư mục if (StringUtils.contains(resource, "..")) { return false; } // Kiểm tra các quy tắc tệp được phép tải xuống if (ArrayUtils.contains(MimeTypeUtils.DEFAULT_ALLOWED_EXTENSION, FileTypeUtils.getFileType(resource ))) { return true; } // Các quy tắc tệp không được phép tải xuống return false; } } ... Chuỗi cuối cùng tĩnh công khai[] DEFAULT_ALLOWED_EXTENSION = { // ảnh "bmp", "gif", "jpg", "jpeg", "png", // word excel powerpoint "doc", "docx", "xls", "xlsx", "ppt" , "pptx", "html", "htm", "txt", // Tệp nén "rar", "zip", "gz", "bz2", // Định dạng video "mp4", "avi", "rmvb", // pdf "pdf" }; ... public class FileTypeUtils { /** * Lấy loại tệp*
* Ví dụ : ruoyi .txt, return: txt * * @param fileName tên tệp * @return hậu tố (không bao gồm ".") */ public static String getFileType(String fileName) { int SeparatorIndex = fileName.lastIndexOf("."); if (separatorIndex < 0) { return ""; } return fileName.substring(separatorIndex + 1).toLowerCase();
Có thể thấy, trong submit record 18f6366f, phương thức FileUtils.isValidFilename(fileName) khi tải file đã được thay thế bằng phương thức FileUtils.checkAllowDownload(fileName). Phương pháp này sẽ kiểm tra xem tham số tên tệp có chứa .. để ngăn việc nhảy thư mục hay không, sau đó kiểm tra xem tên tệp có nằm trong danh sách trắng hay không. Điều này tránh các lỗ hổng tải tập tin tùy ý.
Truyền tải đường dẫn cho phép kẻ tấn công truy cập vào nội dung của các thư mục và tệp bằng cách thao tác các phần khác nhau của đường dẫn. Khi xử lý tải lên, tải xuống tệp và các hoạt động khác, chúng tôi cần xác minh nghiêm ngặt các tham số đường dẫn để ngăn chặn các lỗ hổng truyền tải thư mục.
Là một dự án quản lý nền, dự án RuoYi sử dụng truy vấn phân trang trong hầu hết mọi menu, do đó, lớp truy vấn phân trang PageDomain được gói gọn trong dự án và những lớp khác sẽ đọc tham số orderByColumn do máy khách truyền vào. Trước khi gửi bản ghi 807b7231, mã truy vấn phân trang như sau:
public class PageDomain { ... public void setOrderByColumn(String orderByColumn) { this.orderByColumn = orderByColumn; } ... } /** * Biểu thức chính tả */ public static void startPage() { PageDomain pageDomain = TableSupport.buildPageRequest(); Integer pageNum = pageDomain.getPageNum(); Integer pageSize = pageDomain.getPageSize(); String orderBy = pageDomain.getOrderBy(); Boolean reasonable = pageDomain.getReasonable(); PageHelper.startPage(pageNum, pageSize, orderBy).setReasonable(reasonable); } /** * Phân quyền */ @RequiresPermissions("system:post:list") @PostMapping("/list") @ResponseBody public TableDataInfo list(SysPost post) { startPage(); List list = postService.selectPostList(post); return getDataTable(list); }
Như bạn có thể thấy, các truy vấn phân trang thường sử dụng trực tiếp phương thức startPage() được đóng gói và đặt trực tiếp thuộc tính orderByColumn của PageDomain vào PageHelper và cuối cùng nó sẽ được ghép vào câu lệnh truy vấn SQL thực tế.
Nếu kẻ tấn công biết tên bảng người dùng là người dùng, .
orderByColumn Các thông số là 1; Người dùng DROP TABLE; CHỌN * TỪ người dùng NƠI tên người dùng = 'admin' SẮP XẾP THEO 1; XÓA BẢNG người dùng; Người dùng DROP TABLE; Hoàn thành, bảng người dùng sẽ bị xóa Sau khi gửi bản ghi 807b7231, các tham số sắp xếp đã được thoát. Mã mới nhất như sau.
public class PageDomain { ... public void setOrderByColumn(String orderByColumn) { this.orderByColumn = SqlUtil.escapeSql(orderByColumn); } } /** * lớp công cụ thao tác sql* * @author ruoyi */ public class SqlUtil { /** * Chỉ hỗ trợ chữ cái, số, dấu gạch dưới, dấu cách, dấu phẩy và dấu thập phân (hỗ trợ sắp xếp theo nhiều trường) */ public static Chuỗi SQL_PATTERN = "[a-zA-Z0-9_\\ \\,\\.]+"; /** * Kiểm tra các ký tự để tránh bỏ qua việc tiêm*/ public static String escapeOrderBySql(String value) { if (StringUtils. isNotEmpty (value) && !isValidOrderBySql(value)) { ném UtilException mới("Các tham số không đáp ứng các thông số kỹ thuật và không thể truy vấn được" } giá trị trả về; } /** * Xác minh xem thứ tự theo cú pháp có tuân thủ đặc tả*/ public static boolean isValidOrderBySql(String value) { return value.matches(SQL_PATTERN);
Bạn có thể thấy rằng việc khớp thông thường được thực hiện đối với các chuỗi có thể được ghép nối sau thứ tự theo câu lệnh. Chỉ hỗ trợ các chữ cái, số, dấu gạch dưới, dấu cách, dấu phẩy và dấu thập phân (hỗ trợ sắp xếp nhiều trường). Điều này có thể tránh trật tự bằng cách được theo sau bởi các ký tự không hợp lệ khác, chẳng hạn như drop|if()|union, v.v., do đó tránh được các vấn đề về trật tự bằng cách tiêm.
SQL SQL là một trong những lỗ hổng phổ biến và nghiêm trọng nhất trong các ứng dụng web. Nó cho phép kẻ tấn công thực thi các lệnh SQL bất hợp pháp trong cơ sở dữ liệu bằng cách chèn các lệnh SQL vào các lần gửi biểu mẫu web. Không bao giờ tin tưởng vào dữ liệu đầu vào của người dùng, đặc biệt là khi ghép các câu lệnh SQL lại với nhau. Chúng ta nên lọc các tham số không thể kiểm soát do người dùng truyền vào.
Thông qua các trường hợp mã trong ba dự án RuoYi này, chúng ta có thể tóm tắt một số điểm cần chú ý trong quá trình phát triển dự án.
Tóm lại, viết mã không chỉ là hoàn thành các yêu cầu. Chúng ta cũng cần chú ý hơn đến từng chi tiết, cảnh giác với các tham số do người dùng truyền vào, ghép nối các câu lệnh SQL một cách cẩn thận và xác minh nghiêm ngặt các đường dẫn. Kiểm tra mã thường xuyên có thể phát hiện và khắc phục các lỗ hổng của dự án càng sớm càng tốt, mang đến cho người dùng những sản phẩm an toàn và đáng tin cậy hơn. Tôi hy vọng rằng thông qua những trường hợp này, chúng tôi có thể nhắc nhở mọi người tăng cường hơn nữa nhận thức về bảo mật trong quá trình viết mã.
Bài viết này đã được giải thích. Cảm ơn bạn đã đọc. Bạn bè quan tâm có thể thích và theo dõi. Sự ủng hộ của bạn sẽ là động lực để tôi cập nhật.
Tài khoản công khai [waynblog] cập nhật các bài viết kỹ thuật mới nhất của các blogger hàng tuần, mời mọi người chú ý theo dõi.
Cuối cùng, bài viết về các lỗ hổng bảo mật phổ biến trong giải thích dự án kết thúc tại đây. Nếu bạn muốn biết thêm về các lỗ hổng bảo mật phổ biến trong giải thích dự án, vui lòng tìm kiếm các bài viết của CFSDN hoặc tiếp tục duyệt các bài viết liên quan. blog! .
25
4
0
Tôi đang học bảo mật Spring nhưng tôi không hiểu về tính linh hoạt của nó.. Tôi biết rằng tôi có thể bảo vệ url bằng cách xác định các quy tắc trong thẻ và sau đó tôi thấy rằng có chú thích @secure để bảo vệ các phương thức. Sau đó là các chú thích khác để bảo vệ miền (hoặc POJO)
Giả sử có khóa mã hóa khóa trong bộ nhớ và không được ghi vào tệp hoặc cơ sở dữ liệu... byte[] kek = new byte[32];
Tôi gặp sự cố với Spring Security 3.2.0 RC1. Tôi đang sử dụng thẻ để kết nối phương thức của mình có nội dung "method 'setF
Tôi đang tạo một ứng dụng Flutter bằng API máy chủ Node Js. Để ủy quyền, tôi quyết định sử dụng JWT với khóa riêng/chung. Giao tiếp giữa máy chủ và máy khách di động sử dụng HTTPS. ứng dụng rung
Trong vài năm qua, tôi đã sử dụng các thư viện javascript từ Raphael.js. Đến D3, tôi đã thao tác các hình ảnh động từ khắp nơi trên web cho mục đích học tập của mình. Tôi đã tải xuống các tập lệnh js từ nhiều kho git khác nhau, chẳng hạn như s
Cách tốt để triển khai xác thực trong python là gì? Những gì đã tồn tại cũng tốt. Tôi cần nó để xác thực qua kết nối mạng không đáng tin cậy. Nó không cần quá cao cấp, chỉ cần đủ an toàn để lấy được mật khẩu thông dụng. Tôi nhìn vào mô-đun ssl. Nhưng mô-đun đó cho phép tôi
Tôi đang cố gắng tìm hiểu "Cách triển khai Kerberos trong Hadoop?" Tôi đã xem tài liệu này https://issues.apache.org/jira/browse/HADOOP-4487 và tôi cũng đã học được những điều cơ bản
Tôi có một máy chủ sản xuất với Apache2, php, mysql. Tôi hiện chỉ có một trang web (mysite.com) làm máy chủ ảo. Tôi muốn đặt phpmyadmin, webalizer và webmin ở đó
Tôi thấy phần mềm tường lửa OPNsense trên Internet cách đây vài ngày và bắt đầu quan tâm đến nó. Tôi đã viết một phần mềm trước đó, M0n0wall (khoảng m0n0wa).
Tôi đã viết phần phụ trợ còn lại trên Spring Boot và oauth2 (do Google cung cấp), với tính năng chuyển hướng tự động trên "/đăng nhập". Ngoài web oauth, tôi còn muốn làm Fire trên phần phụ trợ di động
Tôi muốn gọi lớp Foo có lớp trừu tượng Base trong hàm tạo của nó. Tôi muốn có thể gọi Foo từ Derived bắt nguồn từ Base và sử dụng các phương thức ghi đè của Derived thay vì các phương thức của Base. Tôi chỉ có thể sử dụng ngón tay thô theo hướng dẫn
Làm thế nào để cải thiện bảo mật phiên? $this->session->userdata('userid') Tôi đã sử dụng thứ nigga nhỏ này cho các cuộc gọi ajax của mình. Có những tình huống mà tôi không làm vậy. Sau đó tôi nghĩ, hãy sử dụng
Tôi hiện đang cung cấp dịch vụ biên dịch lắp ráp cho một số người. Họ có thể nhập mã hợp ngữ vào trình soạn thảo trực tuyến và biên dịch nó. Sau đó, khi được biên dịch, mã sẽ được gửi đến máy chủ của tôi thông qua yêu cầu ajax, yêu cầu này sẽ biên dịch và trả về kết quả đầu ra của chương trình. Tuy nhiên, tôi muốn biết tôi có thể làm gì để ngăn dịch vụ này bị
Như hiện tại, câu hỏi này không phù hợp với định dạng Hỏi & Đáp của chúng tôi. Chúng tôi mong đợi câu trả lời sẽ được hỗ trợ bởi các sự kiện, trích dẫn hoặc kiến thức chuyên môn, nhưng câu hỏi có thể gây ra tranh luận, tranh luận, bỏ phiếu hoặc thảo luận mở rộng. Nếu bạn cảm thấy vấn đề này có thể được cải thiện và có thể mở lại, hãy truy cập trang
Hiện tại, tôi xác thực các phiên của người dùng bằng cách khớp khóa trong phiên với cùng một khóa trong cơ sở dữ liệu MySQl. Tôi tạo lại phiên bằng số ngẫu nhiên bị ảnh hưởng bởi MD5 mỗi lần tải trang
Nhóm Mô hình và Thực tiễn của Microsoft cung cấp một bản PDF tuyệt vời có tên: "Xây dựng các ứng dụng ASP.NET an toàn". Microsoft pdf hiện đã hơi cũ vì nó được viết cho .Net 1.0. Có ai biết không
Trong Lua, người ta thường sử dụng math.random để tạo ra các giá trị và/hoặc chuỗi ngẫu nhiên. & math.randomseed , trong đó os.time được sử dụng cho math.randomseed .
Như hiện tại, câu hỏi này không phù hợp với định dạng Hỏi & Đáp của chúng tôi. Chúng tôi hy vọng câu trả lời sẽ được hỗ trợ bởi các sự kiện, trích dẫn hoặc chuyên môn, nhưng câu hỏi có thể gây ra tranh luận, tranh luận, bỏ phiếu hoặc thảo luận mở rộng. Nếu bạn cảm thấy vấn đề này có thể được cải thiện và có thể mở lại, hãy truy cập
Chúng tôi có một ứng dụng dựa chủ yếu vào Ajax. Cách tốt nhất để đảm bảo rằng các yêu cầu đối với tập lệnh phía máy chủ không đi qua một chương trình độc lập mà thông qua một người dùng thực sự đang ngồi trên trình duyệt? Câu trả lời tốt nhất thực sự là không có ai. Mọi yêu cầu được gửi qua trình duyệt đều có thể bị giả mạo bởi một chương trình độc lập. trở lại
Tôi đang tìm cách triển khai ứng dụng web (góc) và iPhone bằng WebSockets để liên lạc với máy chủ của chúng tôi. Khi sử dụng các yêu cầu HTTP trước đây, chúng tôi đã sử dụng hàm băm của dữ liệu yêu cầu, url, dấu thời gian, v.v. để xác minh và
Tôi là một lập trình viên xuất sắc, rất giỏi!