SQL注入是一種攻擊數(shù)據(jù)庫的行為�,攻擊者把惡意SQL命令插入到Web表單的輸入域或頁面請求的查詢字符串中��,從而欺騙Web應(yīng)用執(zhí)行惡意的SQL命令��,達(dá)到竊取數(shù)據(jù)或破壞的目的[6]。以往的SQL注入只針對運(yùn)行在Web服務(wù)器端的數(shù)據(jù)庫�,并且通過服務(wù)器端的SQL查詢來控制它�����。
Web客戶端數(shù)據(jù)是指由Web應(yīng)用發(fā)起的、并由瀏覽器或瀏覽器插件執(zhí)行和控制的��、在Web用戶的系統(tǒng)上保存的數(shù)據(jù)��,這些數(shù)據(jù)大多與Web用戶有關(guān)��。自從采用簡單的Cookies作為HTTP的狀態(tài)管理機(jī)制以來,Web站點就開始在用戶的系統(tǒng)上保存數(shù)據(jù)��。
為了滿足Web應(yīng)用的需求���,后來出現(xiàn)了新的Web客戶端數(shù)據(jù)存儲技術(shù)�。這些新技術(shù)常常使用其他存儲機(jī)制,比如數(shù)據(jù)庫����,并且一般提供比Cookies更多的存儲容量�����。Web客戶端數(shù)據(jù)存儲技術(shù)的發(fā)展和廣泛采用����,給Web應(yīng)用帶來了新的安全風(fēng)險。比如客戶端數(shù)據(jù)損壞�����、客戶端數(shù)據(jù)泄露�、客戶端XSS和SQL注入等。這些風(fēng)險會影響到Web應(yīng)用的安全與可靠運(yùn)行�。
1 Web客戶端數(shù)據(jù)存儲技術(shù)
目前存在多種Web客戶端數(shù)據(jù)存儲技術(shù)�����,除了Cookies,還有微軟的IE UserData和Silverlight����、Adobe的Flash�����、Oracle的Java����,以及與HTML 5有關(guān)的Web SQL數(shù)據(jù)庫(Web SQL Database)����、Web存儲(Web Storage)、索引數(shù)據(jù)庫API(Indexed Database API)等�����。在這些存儲技術(shù)中��,Cookies被所有的瀏覽器支持。其他技術(shù)則僅在部分瀏覽器中得到支持��,并且有的技術(shù)還需要安裝相應(yīng)的瀏覽器插件才可以使用���,如Flash�����。
為了防止不同的Web應(yīng)用讀取彼此的數(shù)據(jù)����,上述所有的存儲技術(shù)都采用了同一來源策略機(jī)制��。來源通常由主機(jī)名��、端口號,以及傳輸協(xié)議等界定。瀏覽器會記錄所有Web客戶端數(shù)據(jù)的來源。當(dāng)某個Web應(yīng)用訪問本地存儲的數(shù)據(jù)(即Web客戶端數(shù)據(jù))的時候,瀏覽器將檢查該Web應(yīng)用的來源和被訪問數(shù)據(jù)的來源�����,只有當(dāng)二者匹配的時候才允許訪問[1]���。
大多數(shù)Web客戶端數(shù)據(jù)存儲技術(shù)并不指定數(shù)據(jù)在客戶端的保存期限��,因此數(shù)據(jù)將一直保存在用戶系統(tǒng)上���,除非主動刪除它們��。不過Cookies是一個例外,它允許指定數(shù)據(jù)的到期時間����。另外�,不同的存儲技術(shù)采用不同的存儲機(jī)制��,如純文本、XML�����、數(shù)據(jù)庫或其他專有的格式���。
Web客戶端數(shù)據(jù)的使用方式依賴于特定的Web應(yīng)用��。大多數(shù)情況下�,數(shù)據(jù)被用作Web應(yīng)用的輸入���。有時候數(shù)據(jù)也在本地使用�����,由客戶端腳本加載它們��,用以創(chuàng)建動態(tài)網(wǎng)頁。
表1給出了目前常見的Web客戶端數(shù)據(jù)存儲技術(shù)��。
2 Web客戶端數(shù)據(jù)存儲的安全風(fēng)險
2.1 客戶端XSS
跨站腳本XSS(Cross-Site Scripting)是目前Web應(yīng)用中非常流行的漏洞�����。不同類型的XSS具有相同的特征:允許惡意JavaScript腳本在用戶瀏覽器中運(yùn)行�。由于腳本是在被攻擊的Web站點的上下文中運(yùn)行的,因此攻擊者可以訪問正常情況下不能訪問的資源。
XSS的傳統(tǒng)形式是反射XSS�,其特點是惡意腳本被用戶發(fā)送到Web服務(wù)器(比如用戶無意中點擊了一個惡意鏈接)���,然后又被反射回給用戶�。比反射XSS危害性更大的是存儲XSS�����。它把惡意腳本注入到Web站點所使用的庫中。如果這個庫用于顯示信息給用戶�,那么�����,被注入的惡意腳本將被呈現(xiàn)給訪問這個站點的每一個用戶。
當(dāng)Web應(yīng)用使用Web客戶端數(shù)據(jù)存儲的時候��,特別是采用數(shù)據(jù)庫作為存儲機(jī)制的時候�,攻擊者就可能把惡意腳本注入到客戶端的本地存儲中。這是一種新的XSS��,我們稱之為客戶端XSS�����,它完全位于本地并且使用客戶端的存儲能力����?���?蛻舳薠SS一旦注入成功,每次當(dāng)Web頁面使用本地存儲的信息的時候�,惡意腳本都會運(yùn)行��。
2.2 客戶端SQL注入
Web客戶端數(shù)據(jù)存儲技術(shù)對數(shù)據(jù)庫的支持,使客戶端SQL注入成為可能�。然而��,普通的客戶端SQL注入并無多大危害,因為攻擊者并不能獲得查詢結(jié)果�,結(jié)果會反饋給用戶而不是攻擊者����。不過�����,如果在SQL注入中使用堆棧查詢的話,則危害性可能非常大����,因為它允許攻擊者在客戶端數(shù)據(jù)庫上執(zhí)行任意的SQL命令�����。
2.3 Web客戶端數(shù)據(jù)損壞
Web應(yīng)用無法控制用戶對客戶端數(shù)據(jù)的修改或刪除。這會給Web應(yīng)用帶來影響,這種影響依賴于Web應(yīng)用對數(shù)據(jù)的使用����。比如���,如果視頻網(wǎng)站把用戶調(diào)整后的音量保存在Flash的LSO文件中���,則對LSO數(shù)據(jù)的修改或是損壞只能導(dǎo)致音量恢復(fù)到默認(rèn)值��。而如果某個網(wǎng)站利用Cookie中的某個值來表示用戶的類型(普通用戶或者管理員),對這個值的修改則可以讓普通用戶變成管理員��,從而擁有更大的權(quán)限����。
2.4 Web客戶端數(shù)據(jù)泄露
Web應(yīng)用對存儲在客戶端的數(shù)據(jù)并沒有多少控制,所以它無法保證數(shù)據(jù)的完整性�����。當(dāng)存儲的數(shù)據(jù)需要保密�����,或者能夠用來訪問敏感信息時�����,數(shù)據(jù)泄露就成為一個嚴(yán)重問題。像XSS和SQL注入攻擊會讓W(xué)eb客戶端數(shù)據(jù)處于危險中。另外,當(dāng)攻擊者能夠訪問用戶的文件系統(tǒng)時����,數(shù)據(jù)泄露也會發(fā)生��。讓W(xué)eb客戶端數(shù)據(jù)泄露更加復(fù)雜的一個因素是大部分這類數(shù)據(jù)并沒有生命期(Cookies是一個例外),可以長期保存在用戶的計算機(jī)上,這增加了數(shù)據(jù)泄露的可能性。
2.5 繞過同一來源策略
同一來源策略對于保護(hù)Web客戶端數(shù)據(jù)是極為重要的,繞過該策略會導(dǎo)致嚴(yán)重的后果���。那么,攻擊者如何繞過同一來源策略呢?首先,XSS的所有變種都允許攻擊者繞過同一來源策略��,因為它能夠讓腳本在被攻擊的域的上下文中運(yùn)行;其次���,Web瀏覽器中的某些漏洞也會導(dǎo)致無法正常實施該策略�。此類漏洞在許多瀏覽器上都存在。還有����,DNS服務(wù)器的DNS緩存污染也可以用來繞過該策略���。
另外���,當(dāng)Web應(yīng)用沒有恰當(dāng)?shù)囟x來源的時候���,也會出現(xiàn)繞過同一來源策略的問題�����。比如,Cookie機(jī)制允許開發(fā)者使用“domain”屬性設(shè)置來源。假如站點good.enjoy.com所指定的域是.enjoy.com�。當(dāng)域enjoy.com下的不同(虛擬)主機(jī)的所有權(quán)分散的時候,攻擊者可以建立一個域名為devil.enjoy.com的網(wǎng)站�����,然后他就可以訪問站點good.enjoy.com保存的cookie信息�����。在博客和社交網(wǎng)站上��,這是一個典型的問題,因為此時每個用戶在相同的主域下都有自己的虛擬主機(jī)名�����。相似的問題也存在于共享服務(wù)器上——幾個用戶共享同一個主機(jī)上的Web空間�����。
3 Web客戶端數(shù)據(jù)存儲安全風(fēng)險對策
3.1 不要信任本地存儲的數(shù)據(jù)
由于Web應(yīng)用無法控制客戶端數(shù)據(jù)的完整性�����,Web應(yīng)用開發(fā)者永遠(yuǎn)不應(yīng)該信任本地存儲的數(shù)據(jù)。如果你的Web應(yīng)用確實需要在客戶端存儲數(shù)據(jù)����,而你又希望數(shù)據(jù)是完整可靠的�����,則可以使用數(shù)字簽名技術(shù)來保證數(shù)據(jù)的完整性。
3.2 使用加密技術(shù)
加密Web客戶端數(shù)據(jù)可以在一定程度上阻止惡意程序讀取明文數(shù)據(jù)���。在客戶端解密數(shù)據(jù)會泄漏明文,加密和解密操作必須在Web服務(wù)器上進(jìn)行����。不過�����,加密技術(shù)并不能保證客戶端數(shù)據(jù)總是安全的。如果服務(wù)器解密數(shù)據(jù)后又把明文信息返回給瀏覽器����,攻擊者仍然有可能利用XSS來獲得信息��。
3.3 防止XSS
對于傳統(tǒng)的XSS,可以通過在服務(wù)器端腳本中引入適當(dāng)?shù)妮敵鼍幋a機(jī)制來解決�。不過����,如果使用Web客戶端數(shù)據(jù)���,服務(wù)器可能無法看到它們����,因此無法重新編碼。當(dāng)信息存儲在客戶端并由客戶端的腳本檢索的時候��,這種情況就可能發(fā)生��。為了防止客戶端XSS���,開發(fā)者需要在客戶端以JavaScript函數(shù)的形式引入輸出編碼機(jī)制���。這種編碼機(jī)制主要是在輸出的數(shù)據(jù)中重新編碼不安全的字符�,比如�����,把小于號“<”編碼成“<;”。這會讓攻擊者在Web應(yīng)用的輸出中注入標(biāo)簽(這樣就可以執(zhí)行惡意JavaScript腳本)的行為變得非常困難。
3.4 使用參數(shù)化的查詢
如果在Web應(yīng)用中使用客戶端數(shù)據(jù)庫�����,同時使用SQL接口(如HTML 5 Web SQL Database)�����,應(yīng)該使用參數(shù)化的查詢而不是動態(tài)串方式�。
3.5 指定的數(shù)據(jù)來源應(yīng)盡可能窄
如果指定的數(shù)據(jù)來源過于寬松����,存儲在用戶端的數(shù)據(jù)可能會被其他Web應(yīng)用讀取。在共享域中,這個問題更加嚴(yán)重�����。如果采用Cookies技術(shù)�,可以使用“path”屬性來進(jìn)一步縮小允許讀寫數(shù)據(jù)的來源。然而,較新的存儲技術(shù)如HTML 5客戶端存儲技術(shù)并不支持類似的機(jī)制[7]���,這意味著在共享服務(wù)器上不應(yīng)該使用這類存儲技術(shù)。
3.6 及時刪除不再使用的客戶端數(shù)據(jù)
除了Cookies,其他Web客戶端數(shù)據(jù)存儲技術(shù)并不支持?jǐn)?shù)據(jù)的自動刪除����。為了防止這種情況的發(fā)生�����,Web應(yīng)用應(yīng)負(fù)責(zé)刪除不再需要的數(shù)據(jù)。
期刊VIP網(wǎng)