maksim 发布的文章

12：文件上传

作者: maksim
时间: 2021-09-01
分类: 安全
评论

■ 合法性校验

场景：允许用户自定义上传文件的场景比如：用户头像上传，各种图片、文件、文档等资料上传。

说明：进行文件上传时，在服务端对文件属性进行合法性校验，白名单形式检查文档类型（如文件的后缀名、文件头信息校验等）和大小（图片校验长、宽和像素等）。

PHP 示例：通过白名单限制上传的文件类型，文件大小限制防止DDoS攻击。

<?php    
    if ($_FILES['myfile']['error'] > 0) {
        echo "文件上传出现错误";
        exit();
    }

    $file_type = $_FILES['myfile']['type'];
    if ($file_type != "image/jpeg" && $file_type != 'image/pjpeg') {
        echo "文件类型只能为jpg格式";
        exit();
    }
    
    $file_size = $_FILES['myfile']['size'];
    if ($file_size > 2*1024*1024) {
        echo "文件过大，不能上传大于2M的文件";
        exit();
    }

    if (is_uploaded_file($_FILES['myfile']['tmp_name'])) {
        $uploaded_file = $_FILES['myfile']['tmp_name'];
        $file_true_name = $_FILES['myfile']['name'];
        $move_to_file = $_SERVER['DOCUMENT_ROOT']."/upload/".time().rand(1, 1000).substr($file_true_name, strrpos($file_true_name, "."));
        if (move_uploaded_file($uploaded_file, iconv("utf-8", "gb2312", $move_to_file))) {
            echo "文件上传成功";
        }
    }
    echo "文件上传失败";
    exit();
?>

■ 存储环境设置

场景：同上

说明：进行文件保存时，保存在与应用环境独立的文档服务器中（配置独立域名），保存的目录为web启动用户所属，设置为不可同时有写和执行权限。

配置示例：

[root~ ]# chmod 755 /data/xxx.100tal.com/upload -Rf

■ 隐藏文件路径

场景：允许用户自定义上传文件的场景比如：用户头像上传，各种图片、文件、文档等资料上传。

说明：进行文件保存时，成功上传的文件需要进行随机化重命名，禁止给客户端返回保存的路径信息。

PHP示例：白名单检测文件后缀名,然后随机数重写文件名

<?php
//coding

■ 文件访问设置

场景：允许用户上传文件，并提供文件下载功能的场景，比如下载课件知识资料等

说明：进行文件下载时，应以二进制附件形式下载，建议不提供直接访问（防止木马文件直接执行）。

PHP 示例：

<?php
    $filename = $_GET['filename'];
    $download_path = $_SERVER['DOCUMENT_ROOT']."/upload/";
 
    if (eregi("\.\.", $filename)) {
        echo "抱歉，你不能下载该文件！";
        exit();
    }

    $file = str_replace("..", "", $filename);
    if (!eregi("\.jpeg$", $file)) {
        echo "抱歉，你不能下载该文件！";
        exit();
    }

    $file = "$download_path$file";
    if (!file_exists($file)) {
        echo "抱歉，文件不存在！";
        exit();
    }

    $type = filetype($file);
    header("Content-type: $type");
    header("Content-Disposition: attachment;filename=$filename");
    header("Content-Transfer-Encoding: binary");
    header('Pragma: no-cache');
    header('Expires: 0');
    set_time_limit(180);
    readfile($file);
?>

11：CSRF

作者: maksim
时间: 2021-08-27
分类: 安全
评论

■ Token使用

场景：在进行一些转账、订单操作、编辑删除文章、修改用户信息等重要操作的时候，需要确认当前操作请求是否由真实的用户主动发起的。

说明：在重要操作的表单中增加会话生成的Token字段，一次一用，提交后在服务端校验该字段。

PHP示例：页面包含生成token:

<?php
    session_start();
    function set_token() {
        $_SESSION['token'] = md5(time()+rand(1, 1000));
    }
?>

<form method="POST">
    <input name="message" type="text">
    <input type="hidden" name="token" value="<?=_SESSION['token']?>">
    <input type="submit" />
</form>

■ 二次验证

场景：在进行一些转账、订单操作、编辑删除文章、修改用户信息等重要操作的时候，需要确认当前操作请求是否由真实的用户主动发起的。

说明：在关键表单提交时，要求用户进行二次身份验证，如密码、图片验证码、短信验证码等。

PHP示例：验证token的有效性:

<?php
    session_start();
    function check_token() {
        if (isset($_POST['token']) && $_POST['token'] === $_SESSION['token']) {
            return true;
        } else {
            return false;
        }
    }
    
    if (isset($_SESSION['token']) && check_token()) {
        echo "success";
    } else {
        echo "failed";
    }
    set_token();
?>

■ Referer验证

场景：同上

说明：检验用户请求中Referer字段是否存在跨域提交的情况。

PHP示例：检查请求连接的referer是否合法

<?php
    session_start();
    if (strpos($_SERVER['HTTP_REFERER'], 'www.xxx.com')  !== false) {
        exit("fail");
    } else {
        // process bussiness here.
    }
?>

07 会话安全

作者: maksim
时间: 2021-08-26
分类: 安全
评论

■ 防止会话劫持

场景： 系统登录入口。

说明： 在应用程序进行身份验证时，建议持续使用HTTPS连接，认证站点使用HTTPS协议。如果连接是从HTTP跳转到HTTPS，需要重新生成会话标识符。禁止在HTTP和HTTPS之间来回转换，这可能会导致会话被劫持。

Nginx 强制使用 https

server {
    listen 80;
    server_name www.maksim.website;
    rewrite ^(.*) https://$server_name$1 permanent;
}

■ 会话标识符安全

场景： 系统登录验证过程。

说明： 会话标识符应放置在HTTP或HTTPS协议的头信息中，禁止以GET参数进行传递、在错误信息和日志中记录会话标识符。

PHP示例： 使用cookie保存会话标识符。

<?php
    session_start();
    $username = $_POST['username'];
    $password = sha1($_POST['password']);
    $remember = $_POST['remember'];
    $validatecode = $_POST['validateCode'];
    $ref_url = $_GET['req_url'];
     
    if ($validatecode != $_SESSION['checksum']) {
        exit("验证码不正确");
    } elseif ($username == '' || $password == '') {
        exit("用户名和密码都不能为空");
    } else {
        $row = getUserInfo($username, $password);
        if (empty ($row)) {
            exit("用户名和密码都不正确");
        } else {
            $_SESSION['user_info'] = $row;
            if (!empty($remember)) {
                setcookie("username", $username, time()+60*60*24, "/home/www/");
            }
            if (strpos($ref_url, "login.php") === false) {
                header("location:" . $ref_url );
            } else {
                header("location:main_user.php");
            }
        }
    }
?>

■ Cookie安全设置/会话有效期

场景：用户通过认证后生成会话标识符时进行安全配置。

说明：设置会话Cookie时，正确设置“HttpOnly”属性（禁止程序如JS脚本等读取Cookie信息）;“Secure”属性（禁止Cookie通过HTTP连接传递到服务器端进行验证）；“Domain“属性(跨域访问时可指定的授权访问域名) ，“Path“属性（授权可访问的目录路径）。会话应在平衡风险和功能需求的基础上设置有效期。定期生成一个新的会话标识符并使上一个会话标识符失效，这可以缓解那些因原会话标识符被盗而产生的会话劫持风险。

PHP示例：在生成cookie时进行配置。

<?php
    class CookieUtil {
        function getCookie($cName) {
            if (isset($_COOKIE[$cName])) { 
                return $_COOKIE;
            } else {
                return false;
            }
        }
        function getValue($cName) {
            if (isset($_COOKIE[$cName])) { 
                return $_COOKIE[$cName];
            } else {
                return false;
            }
        }
        function addCookie($cName, $cValue) {
            setcookie($cName, $cValue, time()+3600*24, "/", ".maksim.website");
            return true;
        }
        function updateCookie($cName, $cValue) {
            setcookie($cName, $cValue, time()+3600*24, "/", ".maksim.website");
            return true;
        }
        function elCookie($cName, $cValue) {
            setcookie($cName, "", time()-3600, "/", ".maksim.website");
            return true;
        }
    }
?>

■ 会话注销

场景：会话注销时处理。

说明：注销功能应用于所有受身份验证保护的网页，用户登出后应立即清理会话相关信息，终止相关的会话连接。

PHP示例：在生成cookie时进行配置。

<?php
    session_start();
    if ($_GET['action'] == "logout") {
        unset($_SESSION['user_info']);
        echo '注销登录成功！';
        header("location:login.php");
    }
?>

10：敏感数据

作者: maksim
时间: 2021-08-26
分类: 安全
评论

■ 客户端保存

场景：在客户端需要保存用户信息时，为了防止泄露需要对其进行加密处理。

说明：客户端保存敏感信息时，禁止其表单中的自动填充功能，以明文形式保存敏感信息。

用户信息使用AES对称加密算法加密。

■ 服务器保存

场景：服务器端处理敏感信息后，需要及时清除防止泄露信息。

说明：服务端保存敏感信息时，禁止在程序中硬编码敏感信息，明文存储用户密码、身份证号、银行卡号、持卡人姓名等敏感信息，临时写入内存或文件中的敏感数据，应及时清除和释放。

PHP示例：可以及时清理敏感数据。

<?php
    session_start();
    $username = $_POST['username'];
    $password = $_POST['password'];
    if ($username == '' || $password == '') {
        exit("用户名和密码都不能为空");
    } else {
        $row = getUserInfo($username, $password);
        unset($username);
        unset($password);
        if (empty($row)) {
            exit("用户名和密码都不正确");
        } else {
            $_SESSION['user_info'] = $row;
            if (!empty($remember)) {
                setcookie("username", $username, time()+60*60*24, "/home/www/");
            }
            header("location:" . $ref_url );
        }
    }
?>

■ 服务端保存-禁止在代码中硬编码敏感信息

场景：代码中要进行连接数据库等涉及到敏感信息操作的时候，要避免使用硬编码，应将敏感信息放到配置文件单独保存，需要的时候读取使用。

说明：服务端保存敏感信息时，禁止在程序中硬编码敏感信息。

下面的代码将IP直接写到代码中，攻击者可以通过反编译java类文件得到这些敏感信息。

class IPaddress {
    public $ipAddress = "172.16.254.1";
}

正确的代码示例：从serveripaddress.txt中读取ip地址，然后再进行其他操作。

下面为错误实现方式，直接采用了硬编码，将用户名和密码直接写到了代码中：

public getConnection()  {
    return DriverManager.getConnection("mysql://localhost/dbName","username", "password");
}

正确的实现方式：将用户名密码等重要信息写到配置文件中，使用的时候从配置文件中读取对应信息。

■ 服务端保存-禁止明文存储密码等信息

场景：服务端对用户密码等敏感信息进行存储的场景。

说明：服务端保存敏感信息时，禁止明文存储用户密码、身份证号、银行卡号、持卡人姓名等敏感信息。

PHP 示例：定义专门的密码哈希方法hashPassword()，在对密码进行操作时，调用该方法先对密码进行处理。

06 更加安全的密码管理

作者: maksim
时间: 2021-08-25
分类: 安全
评论

■ 密码设置

场景：用户注册、密码重置、密码找回时。

说明：密码设置时，应该满足8位及以上长度，含大小写字母、数字及特殊字符等的要求。用户密码设置必须经过后端校验，不允许设置不满足复杂度要求的密码。

PHP示例：后端验证密码复杂度。

<?php
    function validPwd($pwd) {
        if (strlen($pwd) < 8) {
            echo "密码必须包含至少含有8个字符，请返回修改！";
            return FALSE;
        }        
        if (preg_match_all('/[A-Z]/', $pwd, $o) < 1) {
            echo "密码必须包含至少一个大写字母，请返回修改！";
            return FALSE;
        }
        if (preg_match_all('/[a-z]/', $pwd, $o) < 1) {
            echo "密码必须包含至少一个小写字母，请返回修改！";
            return FALSE;
        }
        if (preg_match_all('/[0-9]/', $pwd, $o) < 1) {
            echo "密码必须包含至少一个数字，请返回修改！";
            return FALSE;
        }
        if (preg_match_all('/[~!@#$%^&*()\-_=+{};:<,.>?]/', $pwd, $o) < 1) {
            echo "密码必须包含至少一个特殊符号：[~!@#$%^&*()\-_=+{};:<,.>?]，请返回修改！";
            return FALSE;
        }
        return TRUE;
    }
?>

■ 密码存储

场景：用户提交的密码在服务器端保存时，需要做转换避免明文存储后泄露。

说明：用户密码存储时，应采用哈希算法（如SHA1）计算用户密码和唯一随机盐值（Salt）的摘要值，保存其摘要和Salt值，建议分开存储这两个值。

PHP示例：使用摘要算法BCrypt存储用户密码。

<?php
    try {
        $email = filter_input(INPUT_POST, 'email', FILTER_VALIDATE_EMAIL);
        if (!$email) {
            throw new Exception('非法的Email');
        }
    
        $password = filter_input(INPUT_POST, 'password');
        if (!$password || mb_strlen($password) < 8) {
            throw new Exception('密码长度必须大于8位');
        }
    
        $sql = "SELECT username FROM user WHERE username=:username";
        $stmt = $db->prepare($sql);
        $stmt->execute(array(
            ':username' => $email
        ));
        $row = $stmt->fetch(PDO::FETCH_ASSOC);
        if ($row) {
            exit('用户Email已存在');
        }
    
        $passwordHash = password_hash(
           $password,
           PASSWORD_DEFAULT,
           ['cost' => 12]
        );
        if ($passwordHash === false) {
            throw new Exception('Password hash failed');
        }
        
        $sql_insert = "INSERT INTO `user` (username,password) VALUES (:username,:password)";
        $stmt = $db->prepare($sql_insert);
        $stmt->execute(array(
            ':username' => $email,
            ':password' => $passwordHash,
        ));
        $insert_id = $db->lastinsertid();
        if ($insert_id) {
            header('HTTP/1.1 302 Redirect');
            header('Location: login.html');
        }
    } catch (Exception $e) {
        header('HTTP/1.1 400 Bad request');
        echo $e->getMessage();
    }
?>

■ 密码修改

场景：密码修改。

说明：用户修改密码时，修改操作需通过手机号、账户或者邮箱进行二次身份验证。密码变更时，应短信或者邮件通知用户是否是本人操作，告知其安全风险。

PHP示例：

<?php
    session_start();
    try {
        $email = filter_input(INPUT_POST, 'email');
        $password = filter_input(INPUT_POST, 'password');
    
        $sql = "SELECT id,password FROM user WHERE username=:username";
        $stmt = $db->prepare($sql);
        $stmt->execute(array(
            ':username' => $email
        ));
        $row = $stmt->fetch(PDO::FETCH_ASSOC);
        if (!$row) {
            exit('用户不存在');
        }
    
        if (password_verify($password, $row['password']) === false) {
            exit('密码错误！');
        }
    
        $_SESSION['user_reset'] = 'ok';
        $_SESSION['user_email'] = $email;
        header('HTTP/1.1 302 Redirect');
        header('Location: passwdReset.php');
    } catch (Exception $e) {
        header('HTTP/1.1 401 Unauthorized');
        echo $e->getMessage();
    }
?>

■ 密码找回

场景：密码找回

说明：用户密码找回时，后端需要对注册手机号或邮箱进行二次验证，验证码和验证链接应发送至预先注册的地址，并设置有效期以防止暴力破解。密保问题，应当支持尽可能随机的问题提问。在多个验证操作中，要对各验证机制进行排序，以防出现跳过前面验证机制直接到最后一步认证的安全风险。

示例【Java代码】：

<?php
    session_start();
    try {
        $email = filter_input(INPUT_POST, 'email');
        $sms_code = filter_input(INPUT_POST, 'sms_code');
    
        $sql = "SELECT id FROM user WHERE username=:username";
        $stmt = $db->prepare($sql);
        $stmt->execute(array(
            ':username' => $email
        ));
        $row = $stmt->fetch(PDO::FETCH_ASSOC);
        if (!$row) {
            exit('用户不存在');
        }
    
        if (($sms_code === $_SESSION['sms_code']) == false) {
            exit('短信验证码错误！');
        }
    
        $_SESSION['user_pwdback'] = 'ok';
        header('HTTP/1.1 302 Redirect');
        header('Location: passwdReset.php');
    } catch (Exception $e) {
        header('HTTP/1.1 401 Unauthorized');
        echo $e->getMessage();
    }
?>

■ 密码使用

场景：密码使用。

说明：应用开发中禁止设置万能密码、硬编码明文的密码、使用数据库管理员账户操作、不同用户公用账户操作或者将密码输出到日志文件或者控制台。

PHP项目配置示例：config.ini。

datahost = 172.10.2.2
username = web
password = xxxxxx

PHP示例：PHP包含使用。

<?php
    $arrs = parse_ini_file("config.ini", true);
    $conn = mysqli_connect($arrs['datahost'], $arrs['username'], $arrs['password']) or die(mysqli_connect_error());
    mysqli_select_db($conn, 'web');
    mysqli_query($conn, 'set names utf8');
    $sqls = 'SELECT * FROM users';
    $rest = mysqli_query($conn, $sqls);
    while ($row = mysqli_fetch_array($rest)) {
        print_r($row); 
    }
?>