PROSAGA码农传奇-软件加固-用于高度安全的Web应用程序的工具和技术

背景
您提到的所有漏洞都源于数据与控件（或代码，如果您愿意）的混淆。它们之所以在实践中出现，是因为许多编程语言和API都不具备对领域特定语言（例如SQL，HTML和系统外壳）的语义进行编码的能力。例如，几乎所有XSS漏洞都会发生，因为程序员会打印出未经过滤的字符串，并且编程语言或API没有足够的信息来检测该字符串是用户提交的，并且应该转义其控制字符。幸运的是，有一些语言扩展和API可以将数据与控制分开，并且可以消除几乎所有这些攻击。

SQL注入
准备好的语句。Java 的JDBC预处理语句实现是在SQL级别访问DBMS的事实上的标准。您可以使用变量编写SQL查询，然后指定这些变量的值及其类型，从而有效地为DBMS提供足够的信息以转义数据，同时不保留查询结构（控件）。
查询构建器。您可以将其表示为一系列方法调用，而不是将查询指定为字符串，而是以构建器模式的方式逐步建立对象。您可能会认为它是手动构建AST，然后将其序列化为查询字符串。Robertson和Vigna撰写了一篇论文，阐述了Haskell中的一些示例。
LINQ。这特定于.NET。查询实际上是语言的一部分，因此解析器可以区分查询关键字和数据。再次，这允许语言仅安全地转义数据。由于缺乏对LINQ的经验，我不能多说了，但大概是将数据值包装在SqlParameter对象中，然后将其转义。
ORM框架。在SQL注入之上，ORM框架旨在抽象掉大多数DBMS详细信息，包括查询本身。他们可以在后台使用准备好的语句，甚至可以公开类似准备语句的API以更直接地访问数据库（例如，Hibernate的SQLQuery）。
跨站点脚本（XSS）
从本质上讲，防止XSS攻击的技术与针对SQL注入的防御类似。仅这次，目标是Web浏览器而不是数据库。无论哪种方式，我们都不希望将数据错误地解释为控制。

模板。大多数流行的模板语言似乎都针对PHP，Python或Ruby。但是，有一些Java和.NET。模板通常由HTML和占位符组成，用于传递数据。然后，您将数据传递到模板引擎中，将其全部转义，然后呈现模板，其中占位符替换为已清理的数据。
DOM树构建器。与SQL查询构建器类似，您可以使用类似DOM的API来构建页面，以创建新的元素和文本节点，最后在最后将它们序列化为HTML字符串。值得争议的是，标准DOM API太冗长，以致于这种方法不可行。
XML文字。像LINQ一样，XML文字是语言的本机部分，它允许解析器将标记与数据区分开。虽然没有Java和C＃的支持XML文本，Scala并和这样做VB9。Facebook有一个名为XHP的开放源代码PHP扩展，它还提供了一些软件工程上的好处，包括组件重用以及能够为自定义标签指定内容模型。
启发式和检测。这不是一个可靠的防御措施，但是某些系统检查HTML输出并猜测是否嵌入了恶意脚本。但是，正如人们发现使用IE8一样，它可以发起攻击。
仅HTTP cookie。这不是针对XSS的防御措施，但可以阻止很多攻击。当服务器设置cookie时，它可以将其标记为仅HTTP，这意味着受支持的浏览器将不允许页面上的JavaScript访问该cookie。因此，即使攻击者能够在您的网站上嵌入恶意脚本，只要他们拥有相当现代的浏览器（甚至包括IE6 +），他们也将无法窃取用户的Cookie。
远程执行代码
关于这个主题，我没有太多要说的，但是请尽量减少system()类似电话的通话。如果您必须调用其他二进制文件，则应采取良好的安全措施，例如在可能的情况下使用白名单，并在适当的情况下使用经过严格审查的清理功能。某些API，例如Python的Popen，可以很好地确保不会将参数视为shell控制字符。最后，对于Java和C＃，缓冲区溢出漏洞利用的可能性很小。这不是正式的保证，但是数十亿美元的公司一直在运行Java服务器。

最佳实践
最终，无论是创建SQL查询还是构建HTML页面，您都应该考虑使用针对手头任务设计的API或语言功能。这些语言和API不仅增加了您对安全性的信心，而且它们还经常促进编程。与传统的串联一串字符串的策略相比，我们现在有了LINQ和XML文字，可以说使代码更易于编写，易于阅读和验证。我是语言增强功能和API的拥护者，它们既可以提高代码质量，又可以提高程序员的工作效率！