在這里���,用戶可以從兩個(gè)分別以6902和5586為結(jié)尾的卡中選擇一個(gè)�,該卡號(hào)由數(shù)據(jù)庫的關(guān)鍵字引用�,而應(yīng)用程序可以訪問此數(shù)據(jù)庫文件��。因此��,黑客可以將56或88改為另一個(gè)數(shù)字,如78�����,用來引用屬于另外一個(gè)用戶的卡號(hào)�����。如果沒有其它的認(rèn)證檢查來防止這種引用���,攻擊將獲得成功����。
避免不安全的直接對(duì)象引用
避免不安全的直接對(duì)象引用(DOR)漏洞的最佳方法是����,完全不要暴露私密的對(duì)象引用�,但如果非用不可,非常重要的一點(diǎn)是確保在向任何用戶提供訪問之前對(duì)其進(jìn)行認(rèn)證和審查���。全球頂級(jí)的Web應(yīng)用安全機(jī)構(gòu)OWASP建議企業(yè)建立一種引用應(yīng)用程序?qū)ο蟮臉?biāo)準(zhǔn)方法���,現(xiàn)簡述如下:
1、盡可能避免將私密的對(duì)象引用暴露給用戶,如重要的關(guān)鍵字或文件名���。
2�����、運(yùn)用一種“可接受的良好方法”����,詳細(xì)地驗(yàn)證任何私密的對(duì)象引用����。決定準(zhǔn)許用戶訪問哪些文件,并僅授與這些用戶訪問這些文件的權(quán)力����。
3、對(duì)所有引用的對(duì)象都要進(jìn)行驗(yàn)證����。
OWASP還提供了第三個(gè)要點(diǎn)的一個(gè)例子。在此��,黑客可以將電子商務(wù)網(wǎng)站的購物車ID參數(shù)改為任何值:
int cartID = Integer.parseInt( request.getParameter( "cartID" ) );
String query = "SELECT * FROM table WHERE cartID=" + cartID;
要想防止受到這種攻擊�����,就只能允許獲得授權(quán)的記錄可以顯示:
int cartID = Integer.parseInt( request.getParameter( "cartID" ) );
User user = (User)request.getSession().getAttribute( "user" );
String query = "SELECT * FROM table WHERE
cartID=" + cartID + "AND userID=" + user.getID();
直接對(duì)象引用的另外一種選擇是每個(gè)用戶或會(huì)話都使用非直接的對(duì)象引用。
在前面那個(gè)關(guān)于信用卡的例子中�,用戶需要從兩個(gè)卡中選擇一個(gè)信用卡,這會(huì)暴露對(duì)信用卡數(shù)據(jù)庫的直接引用�。一個(gè)更好的方法是將這兩個(gè)信用卡的記錄存儲(chǔ)到一個(gè)針對(duì)此用戶的特定陣列中。關(guān)于信用卡的選擇���,其代碼類似于下面的內(nèi)容:
在這種方法中��,僅有對(duì)此用戶陣列的一個(gè)直接引用�����,它僅包含此用戶的數(shù)據(jù)���。將選項(xiàng)的值改為大于2的任何值不會(huì)導(dǎo)致其他用戶的信用卡細(xì)節(jié)被利用。然后���,應(yīng)用程序?qū)延脩舻奶囟ǖ姆侵苯訉?duì)象引用(選項(xiàng)值為1或2)映射回底層的數(shù)據(jù)庫關(guān)鍵字(前面例子中的56和88)
對(duì)不安全的直接對(duì)象引用的測(cè)試
不幸的是�����,漏洞掃描器在發(fā)現(xiàn)不安全的直接對(duì)象引用漏洞方面并不是很高效,所以最佳的選擇是:
1、仔細(xì)檢查代碼����,確認(rèn)是否有重要的參數(shù)易于遭到利用和操縱。
2�、經(jīng)常實(shí)施專業(yè)的滲透測(cè)試。
告.jpg?x-oss-process=image%2Fquality,q_50%2Fresize,m_fill,w_220,h_150)
據(jù)庫案例集-scaled.jpg?x-oss-process=image%2Fquality,q_50%2Fresize,m_fill,w_334,h_1024)
