Web开发中的安全问题

网站安全是构建网站时必须要考虑的一个因素，网站安全的重点在于服务器的安全配置管理以及程序脚本的完善性。当然如果服务器的账号和权限由于管理不善而泄露了，即使技术上网站系统再安全，也不可避免会受到攻击。

我参与的项目是LNMP架构的，主要谈谈自己工作中需要注意的安全问题和常规的规避方法。

SQL注入漏洞

SQL注入问题比较常规，但确实大部分网站中容易存在的网络安全漏洞。SQL注入的原理是用户通过非正常输入（修改URL或者表单数据）把恶意的 SQL 命令插入到 Web 表单让服务器执行，最终达到欺骗服务器或数据库执行恶意的 SQL 命令。

下面给出SQL注入漏洞的示例。网站的某个查询页面的URL为http://xxx.com/list?id=xxx，用户修改URL将以下数据post到服务器，那么服务器执行的SQL就不符合程序设计者的初衷。


SQL注入的危害程度不言而喻。用户通过执行SQL注入会导致数据库中存放的用户的隐私信息的泄露，在特定情况下甚至可以执行任意SQL语句，从而窜改系统管理员帐户，经由数据库服务器提供的系统支持，让黑客得以修改或控制服务器系统，最终破坏数据库数据，瘫痪全系统，通过二次注入导致其他问题，比如读取任意文件。

SQL注入的修复方法也有很多种。比如说需要用户输入的数字是int型，那么在代码中可以用intval()函数进行强制类型转换(做好异常捕获)，如果需要用户输入的数据是字符类型，可以用mysql_real_escape_string()函数进行转换，当然还可以使用预编译和占位符的形式进行sql查询。

命令注入漏洞

命令注入漏洞的原因是程序使用了不安全的函数或方法，被用户操纵并执行危险的命令，比如php危险函数：system(); exec(); shell_exec(); ......
程序冲一旦存在命令注入漏洞，攻击者就可以在目标系统执行任意系统命令。
在如下代码段中，调用了危险函数执行命令，如果用户在本该输入路径的地方输入shell命令，比如输入a.txt && kill -9 xxx那么系统就会执行这些命令影响服务器的正常运行。

<?php
    $cmd = 'cat '.$_GET['path'];
    system($cmd);
?>

命令注入的规避方式就是尽量不要使用危险函数，在使用危险函数的位置对用户的输入进行严格校验，设置白名单等。

权限类漏洞

网站中的权限漏洞更加常见，并且权限漏洞一般不会在开发阶段引起程序错误，而测试阶段测试方法不够严谨就会在网站中遗留权限漏洞。
权限漏洞一般可以分为认证漏洞，未授权访问和水平越权几种情况。修改的方法建议统一进行权限校验。


认证漏洞
认证漏洞比较容易理解，就是通过非法手段破解用户账号和密码信息。比如通过手机验证码登陆的网站，假设验证码是4位数字组成，非法用户通过暴力破解获取到验证码从而取得用户的信息。稍微离题强调以下，数据库中用户的密码一定要进行加密存储，绝对不允许存放明文。
认证漏洞需要在程序设计上进行规避，比如对用户登陆失败时，给出相对模糊的提示信息，提示账号或密码输入错误或不存在而不是准确告诉用户账号错误，密码错误或密码太长等过于明显的提示，通过手机验证码验证的网站可以设置允许用户尝试的最大次数，设置验证码失效实践，设置每个手机每天能接受验证码的最大次数，多次错误锁定IP或锁定账号等。


未授权访问
未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷，导致其他用户可以直接访问，从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露。
未授权访问最简单的例子，比如不校验用户输入信息就跳转到登陆后的页面，泄漏该用户的信息。当然这样的程序设计听起来很蠢，但是我们一定要保证在需要权限访问时进行验证。
目前主要存在未授权访问漏洞主要是服务器，比如NFS服务，Samba服务，LDAP，Rsync，FTP，GitLab，Jenkins，MongoDB，Redis，ZooKeeper，ElasticSearch，Memcache，CouchDB，Docker，Solr，Hadoop，Dubbo等。目前大部分的勒索病毒均利用未授权访问等通用漏洞进行植入、勒索，尤其是Redis、MongoDB等数据库的未授权访问漏洞尤其严重。
未授权访问的解决方式就是对开启的目标服务进行验证。


水平越权
水平越权指的是A与B在系统中具有相同权限 (普通用户)，而A用户登录后可以看到B的内容(比如个人隐私信息)或者B登录后可以看到A的内容。2018年3月，12306网站就闹出过这种漏洞。
举个简单的例子，比如某用户查看自己的订单信息URL为http://xxx.com/list?orderId=xxx，该用户在这个页面修改订单编号orderId，如果后台没有校验拥有修改后订单是否归属当前用户，那么修改后的订单信息很有可能就被泄漏了。
水平越权问题的修改同样也是进一步规范化权限的校验，另外像上例中提到的问题可以考虑进行URL重写，对用户进行尽量少的信息暴漏。

文件类漏洞

文件类漏洞包括用户通过非法操作进行任意文件读取，任意文件上传，任意文件删除和任意文件的查看等。
任意文件的上传比如说在需要上传文件的页面没有校验文件类型，而导致用户将shell脚本程序等上传到服务器被服务器执行从而造成对服务器的损害。
任意文件的读取比如说网站的目录权限没有做好，服务器校验也没有配置，用户通过修改URL切换到不应该访问的目录文件得到如下所示的文件信息

文件类漏洞的修复通常可以包括以下方面。服务器的路径: 大部分场景下需要对访问到的路径进行检查，发现不合理的请求及时拒绝。文件后缀: 文件上传时，仅允许上传白名单后缀。
另外在使用php的文件相关的函数时需要格外注意，这些函数包括fopen，file_get_contents，file_put_contents，include,require, renderFile，unlink等。