软件开发中注意事项

软件开发中注意事项，欢迎给位交流自己的经验

 0 防止表单重复提交

l 输出JSON问题。

拼接JSON字符串，有些特殊字符需要替换掉源代码：

        public static string ToJson(this string s) {

            StringBuilder sb = new StringBuilder();

            for (int i = 0; i < s.Length; i++) {

                char c = s.ToCharArray()[i];

                switch (c) {

                    case '/"': sb.Append("///""); break;

                    case '//': sb.Append("////"); break;

                    case '/': sb.Append("///"); break;

                    case '/b': sb.Append("//b"); break;

                    case '/f': sb.Append("//f"); break;

                    case '/n': sb.Append("//n"); break;

                    case '/r': sb.Append("//r"); break;

                    case '/t': sb.Append("//t"); break;

                    default: sb.Append(c); break;

                }

            }

            return sb.ToString();

        }

如果未替换这些特殊字符生成的JSON不会被正确解析。

推荐使用NET提供的JavaScriptSerializer对象生成JSON字符串。

源代码：

        public static string ToJson(this object obj){

            return ToJson(obj, null);

        }

        public static string ToJson(this object obj, IEnumerable<JavaScriptConverter> jsonConverters) {

            JavaScriptSerializer serializer = new JavaScriptSerializer();

            if (jsonConverters != null) serializer.RegisterConverters(jsonConverters ?? new JavaScriptConverter[0]);

            return serializer.Serialize(obj);

        }

l XXS攻击。

这篇文章很全面：http://ha.ckers.org/xss.html

数据从数据库读出来显示的时候一定要过滤。源代码：

        public static string UnHtml(this string htmlStr) {

            if (string.IsNullOrEmpty(htmlStr)) return string.Empty;

            return htmlStr.Replace("/"", "///"").ShowXmlHtml().Replace(" ", "&nbsp;").Replace("/n", "<br />");

        }

        public static string ShowXmlHtml(this string htmlStr) {

            if (string.IsNullOrEmpty(htmlStr)) return string.Empty;

            string str = htmlStr.Replace("&", "&amp;").Replace(">", "&gt;").Replace("<", "&lt;");

            return str;

        }

存在此漏洞别人可挂马/记录键盘操作，并发送到指定的信箱/可弹广告/==。

l Cookie/Session/ViewState数据存放需要加密。

代码请参考：

C#.NET COOKIE操作 KEY使用MD5加密，Value使用AES加密

http://www.cnblogs.com/livexy/archive/2010/07/05/1771286.html

C#.Net Session操作 Key使用MD5加密，Value使用DES加密

http://www.cnblogs.com/livexy/archive/2010/07/05/1771288.html

C#.NET 加密解密：AES/DES/Base64/RSA/MD5/SHA256

http://www.cnblogs.com/livexy/archive/2010/07/05/1771285.html

l 上传图片漏洞。

这种漏洞的主要解决办法是：让图片目录无执行权限。

将图片目录放在非站点下。建一个独立站点指向图片目录。

IIS7处理程序映射：

IIS6需要设置：只读和无执行权限。禁用所有Web服务扩展。

l 备份文件时的小漏洞，备份重要文件时扩展名不要使用.bak/.txt之类的，防止别人下载。备份文件请不要上传到服务器。

l 登录漏洞

验证用户是否登录最好的作法是，先按登录名，从数据库查询到用户的ID和密码。在代码里比较登录密码是否正确。不要直接查询用户名和密码在表里是否存在。

l 防止页面被另存为

HTML代码里加：<NOSCRIPT><IFRAME SRC="*.html"></IFRAME></NOSCRIPT>

l 防止页面被内嵌到别人的网站

HTML代码里加：<script>if (self != top) { top.location = self.location; }</script>

l 防止从本地提交数据

在POST/GET数据的时候，我们需要验证页面的referrer。如果referrer非本地的域名不让访问。这样可防止从其它站点或本地提交数据。

l 前台JS验证数据，提交到程序里也需要验证数据。做双保险才安全。

l 防无限刷新

数据提交的时候让按钮变灰不让再次单击。

提交成功后，用JS提示操作成功，并转向新页面。这样做每次对方刷新都要点确定按钮。可以减少刷新次数。

l 防无限提交数据/防ajax自动提交数据

加入验证码和提交时间（如一分种发信息）限制功能。

l  

二、数据库开发注意事项

l 删除sa用户，新建一个权限为sa的用户，用户名和密码一样要复杂。以防暴力破解。新建一个web连接用户，去掉所有服务器角色，在用户映射中加入此用户要操作的数据库db_owner和db_public身份。如果需要其它操作要另加权限（如只加insert/delete/select/update）。

l  

l 防SQL注入

存在SQL注入很严重。db_public身份一样能对数据库表有添加/修改/删除权限。

推荐使用Parameter传值，不要使用字符串拼接。

如果需要拼接需要过滤一些特殊字符，代码如下：

        public static string SafeSql(this string str) {

            str = str.IsNullOrEmpty() ? "" : str.Replace("'", "''");

            str = new Regex("exec", RegexOptions.IgnoreCase).Replace(str, "exec");

            str = new Regex("xp_cmdshell", RegexOptions.IgnoreCase).Replace(str, "xp_cmdshell");

            str = new Regex("select", RegexOptions.IgnoreCase).Replace(str, "select");

            str = new Regex("insert", RegexOptions.IgnoreCase).Replace(str, "insert");

            str = new Regex("update", RegexOptions.IgnoreCase).Replace(str, "update");

            str = new Regex("delete", RegexOptions.IgnoreCase).Replace(str, "delete");

 

            str = new Regex("drop", RegexOptions.IgnoreCase).Replace(str, "drop");

            str = new Regex("create", RegexOptions.IgnoreCase).Replace(str, "create");

            str = new Regex("rename", RegexOptions.IgnoreCase).Replace(str, "rename");

            str = new Regex("truncate", RegexOptions.IgnoreCase).Replace(str, "truncate");

            str = new Regex("alter", RegexOptions.IgnoreCase).Replace(str, "alter");

            str = new Regex("exists", RegexOptions.IgnoreCase).Replace(str, "exists");

            str = new Regex("master.", RegexOptions.IgnoreCase).Replace(str, "master.");

            str = new Regex("restore", RegexOptions.IgnoreCase).Replace(str, "restore");

            return str;

        }

要使用sp_executesql不要使用：exec

l select/insert/delete/update操作时需要注意：

当前用户只能查看，添加，删除，更新自己的数据。在操作的时候一定要判断是不是指定的用户可以操作。有很多新人写程序的时候没有做过处理，会出现当前用户可以删除别人的数据。

删除我的博文ID=1的SQL代码：delete from blog where blogID=1这样是有问题的，应该这么写：delete from blog where blogID=1 and userid=当前登录的用户ID。同样查询，修改，更新也存在这样的问题。

l  

三、自我测试需要注意

l 想象每一个函数/方法调用尽可能存在的情况。

l 测试所有按钮/链接/图片是否可点，链接地址是否正确，是否存在无效链接。

l 每一个可输入控件都要输入特殊字符去测试。每一个URL参数都要输入特殊字符去测试。

特殊字符：

‘

“

or 1=1

or 1=2

<script>alert(1)</script>

''%' or 1=1;--

/r/n

/n

l 界面是否美观/颜色是否刺眼/哪里可以改进。

l 提交数据是否可刷新多次提交。多次快速连续点击保存，保存按钮是否可用，是否已多次提交数据。

l 是否可查看，修改，删除，更新别人的个人资料或私密信息。

l 是否可被内嵌/是否可被另存为/是否有登录漏洞/是否可本地提交数据/程序是否验证数据的格式、安全性和恶意性

1.sql注入：这个很常规了，不要拼字符串以及过滤关键字都可以防住，需要注意的是，Cookie提交的参数也是可以导致注入漏洞的。
2.旁注：就是说在保证自己的程序没问题的同时，也要保证同台服务器的其他站点没问题。至少要设置好系统权限，即使别人的站点出问题也不能影响自己的站点。
3.上传：尽量不要有上传功能，如果必须有上传功能。也要做到以下方面：不能让用户定义路径、文件名，限制好可上传的文件类型。同时要限制好权限，基本规则：执行和可写是互斥权限，不应同时存在。
4.口令强度：在设置密码之类的功能上应加入密码强度要求。服务器上线部署的时候，应该立即把默认密码修改掉。
5.防穷举机制：适当的加入验证码，防止别人用程序穷举账户密码。
6.第三方控件：使用第三方控件，应经过严格的审核（很多第三方控件上作者故意留有缺陷），并且剔除不必要的功能再使用。
7.权限最小化：能给只读就给只读，尽量具体到每一个子目录。
8.目录非常规化：得到管理员账户密码，但是找不到后台登录地址也是很难入侵的。后台路径不要动不动就是http://www.2cto.com /admin、manager、gl之类的，很容易猜解。
10.XSS：俗称跨站脚本攻击。用户把HTML、JS之类的标签输入到编辑框，入库之后，再显示的时候可以导致版面错误、JS能解析执行之类的都属于XSS的范畴。如果攻击者插个Iframe连的是个木马网页，那查看这个内容的人就悲剧了。解决方法：过滤大于小于号即可
11.CSRF URL跳转未验证漏洞：类似于XSS，只是把代码写在URL里，如
http:///www.2cto.com /logout.aspx?preURL=aaaa.html
即经常出现在登录退出的页面，通过参数的preURL决定完成动作的时候跳向哪个页面，如果照样
http://www.2cto.com /logout.aspx?preURL=javascript:alert('test')
就可以弹框，说明我们的js代码已经被执行起来了。
 
总之一句话，开发过程中，不要相信用户提交的任何数据，规划好目录，做到权限最小化，关闭、删除不必要的东西，就相对会安全很多了。
 
cert 安全编码建议：
1、验证输入：从不可信任的数据源中进行的输入需要验证。合适的输入验证能减少大量软件的弱点。必须对大部分的数据源持怀疑的态度，包括命令行参数，网络接口，环境变量及用户文件。
2、留言编译器警告：编译代码时使用编译器的最高警告级别，通过修改代码来减少警告。
3、针对安全策略的架构和设计：构建软件架构和设计软件时采用安全策略。例如：如果系统在不同的时间需要不同的权限，则考虑将系统分成不同的互相通信的子系统，每个系统拥有合适的权限。
4、保持简单性：设计越简单越好，复杂的设计提高了实现时错误的可能性。
5、默认拒绝：默认的访问策略建立在允许的基础上。也就是说，默认的访问是拒绝的，除非标明是允许的。
6、最小权限原则：每个进程拥有完成工作所需的最小权限。任何权限的拥有时间要尽可能的短。这一方法能阻止攻击者利用权限提升执行任意代码的机会。
7、清洁发送给其他系统的数据：清洁所有发送给复杂子系统的数据，例如：命令外壳（shells），关系数据库，商用组件。攻击者可能通过SQL命令或者注入进行攻击。这不是靠子系统通过输入验证来避免的问题，因为子系统不清楚调用的上下文，而调用过程指导上下文，所以有责任在调用子系统时清洁数据。
8、纵深防御：这是一个通用的安全原则，从多个防御策略中规避风险，如果一层防御失效，则另一层防御还在发挥作用。
9、使用有效的安全质量保证技术：好的质量保证技术能有效的发现和消除弱点。渗透测试、Fuzz测试，以及源代码审计都能作为一种有效的质量保证措施。独立的安全审查能够建立更安全的系统。
10、采用安全编码标准：为开发语言和平台指定安全编码标准，并采用这些标准。