安全代码审查的目的是要识别出会导致安全问题和事故的不安全编码技术和漏洞。虽然可能很耗时,但代码审查必须是项目开发周期中的常规事件,这是因为在开发时修复安全缺陷会比以后在产品部署或维护修复周期中再做这项工作节省大量的成本和工作量。
本模块帮助您审查使用Microsoft.NETFramework建立的托管ASP.NETWeb应用程序代码。本模块按功能区进行组织,并通过对所需审查的问题列出完整的列表,为您的代码审查过程提供方法指导和框架。
使用本模块可以:
创建执行代码审查和ASP.NET安全审核的方法和框架。
发现代码中的跨站点脚本漏洞。
发现代码中的SQL注入漏洞。
发现代码中的潜在缓冲区溢出。
通过请求安全问题的完整列表,快速找到安全问题。
评估特定于单独.NETFramework技术的安全问题。
识别允许恶意用户启动攻击的不良代码技术。
了解如何使用FxCop、文本搜索和ILDASM分析源代码和可用.NET程序集。
本模块适用于下列产品和技术:
MicrosoftWindowsServer2000和2003
Microsoft.NETFramework1.1和ASP.NET1.1
MicrosoftSQLServer2000
使用本模块可以创建或扩展现有代码审查过程。必须确保代码审查是您的开发周期的不可或缺的一部分,并且要知道代码审查的效果与所投入的资源和预算的数量是成正比的。
由于在开发时修复安全缺陷所需的成本和工作量远比以后在产品部署周期中修复所需的成本和工作量小,所以,审查目标是在部署代码之前尽可能多地识别潜在的安全漏洞。
为了更好地理解本模块,请:
使用本指南的部分III中的其他安全模块。参考下列这些模块,以便提供有关本模块中分级显示的审查问题的其他信息。
模块6.NET安全概述
模块7构建安全的程序集
模块8代码访问安全的实践
模块9ASP.NET代码访问安全性
模块10构建安全的ASP.NET页面和控件
模块11构建安全服务型组件
模块12构建安全的WebServices
模块13构建安全的远程组件
模块14构建安全的数据访问
使用其他检查表:
检查表:体系结构和设计审查
检查表:保护ASP.NET的安全
检查表:保护WebServices的安全
检查表:保护企业服务
检查表:保护远程处理
检查表:保护数据访问
启动审查过程的好方法是通过FxCop分析工具运行已编译的程序集。此工具分析二进制程序集(而非源代码),以确保它们符合MSDN中可用的.NETFramework设计指南。它还检查您的程序集是否具有强大的名称,以提供防篡改和其他安全收益。此工具随规则的预定义集合提供,虽然您可以自定义和扩展它们。
有关详细信息,请参阅下列资源:
要帮助执行审查过程,请检查您是否熟悉可用来找到文件中的字符串的文本搜索工具。此种工具使您可以快速找到易受攻击的代码。本模块后面提供的许多审查问题都指出当查找特定漏洞时要搜索的最佳字符串。
您可能已有喜欢的搜索工具。如果没有,可以使用VisualStudio.NET中的“在文件中查找”工具或随MicrosoftWindows操作系统提供的Findstr命令行工具。
执行源代码的详细逐行分析之前,首先快速搜索整个代码库,以便识别硬编码密码、帐户名和数据库连接字符串。扫描代码,搜索诸如下列的常用字符串模式:“key”、“secret”、“password”、“pwd”和“connectionstring”。例如,要在应用程序的Web目录中搜索字符串“password”,请按如下从命令提示使用Findstr工具:
findstr/S/M/I/d:c:\projects\yourweb"password"*.*Findstr使用下列命令行参数:
/S-包括子目录。
/M-只列出文件名。
/I-使用区分大小写的搜索。
/D:dir-搜索一个以分号分隔的目录列表。如果想要搜索的文件路径包含空格,请将此路径包括在英文双引号中。
可以创建带有常用搜索字符串的文本文件。然后,Findstr可以从此文本文件读取搜索字符串,如下所示。从包含.aspx文件的目录运行以下命令。
findstr/N/G:SearchStrings.txt*.aspx/N在找到匹配项时打印相应的行号。/G指出包含搜索字符串的文件。在此例中,将在所有ASP.NET页(*.aspx)中搜索SearchStrings.txt中所包含的字符串。
还可以将Findstr命令与ildasm.exe工具一起使用,以便搜索硬编码字符串的二进制程序集。下面的命令使用ildasm.exe来搜索用来找出字符串常量的ldstr中间语言语句。注意下面显示的输出如何显示硬编码数据库连接和众所周知的sa帐户的密码。
Ildasm.exesecureapp.dll/text|findstrldstrIL_000c:ldstr"RegisterUser"IL_0027:ldstr"@userName"IL_0046:ldstr"@passwordHash"IL_0065:ldstr"@salt"IL_008b:ldstr"Exceptionaddingaccount."IL_000e:ldstr"LookupUser"IL_0027:ldstr"@userName"IL_007d:ldstr"SHA1"IL_0097:ldstr"Execeptionverifyingpassword."IL_0009:ldstr"SHA1"IL_003e:ldstr"Logonsuccessful:Userisauthenticated"IL_0050:ldstr"Invalidusernameorpassword"IL_0001:ldstr"Server=AppServer;database=users;username='sa'password=password"注意Ildasm.exe位于\ProgramFiles\MicrosoftVisualStudio.NET2003\SDK\v1.1\bin文件夹中。有关受支持的命令行参数的详细信息,请运行ildasm.exe/。
无论何时代码在返回到客户端的输出HTML流中使用输入参数时,它易受到跨站点脚本(XSS,也称为CSS)攻击。即使在进行代码审查之前,也可以运行简单测试,以检查应用程序是否易受XSS攻击。搜索用户输入信息发送回浏览器的页面。
下面的过程帮助您识别常见XSS漏洞:
识别输出输入的代码。
识别具有潜在危险性的HTML标记和属性。
识别处理URL的代码。
检查输出是否被编码。
检查字符编码是否正确。
检查validateRequest属性。
检查HttpOnlycookie选项。
检查安全属性。
检查innerText和innerHTML属性的使用。
"onmouseover=alert('hello');"开发人员使用的常用技术是筛选“<”和“>”。如果您检查的代码筛选这些字符,则转而使用下面的代码进行测试:
&{alert('hello');}如果代码不筛选这些字符,则可以使用下面的脚本对代码进行测试:
;使用此脚本之前,必须关闭标记,如下所示。
">搜索“.Write”在.aspx源代码和为您的应用程序开发的任何其他程序集包含的代码中,搜索“.Write”字符串。它定位了Response.Write的出现以及任何可以通过响应对象变量(例如下面所示的代码)生成输出的内部例程。
publicvoidWriteOutput(ResponserespObj){respObj.Write(Request.Form["someField"]);}您还应该在.aspx源代码中搜索“<%=”字符串,它也可以用来写输出,如下所示:
<%=myVariable%>下表显示了Response.Write与输入字段一起使用的一些常见情况。
表21.1:可能的输入源
表格字段
Response.Write(name.Text);Response.Write(Request.Form["name"]);QueryString
Response.Write(Request.QueryString["name"]);Cookies
Response.Write(Request.Cookies["name"].Values["name"]);会话和应用程序变量
Response.Write(Session["name"]);Response.Write(Application["name"]);数据库和数据存储区
SqlDataReaderreader=cmd.ExecuteReader();Response.Write(reader.GetString(1));识别具有潜在危险性的HTML标记和属性下列常用HTML标记(并不全面)会允许恶意用户注入脚本代码: