出處: MSDN
翻譯:雲端中城BLOG
應用範圍:
ASP.NET vertion 1.1
ASP.NET vertion 2.0
摘要:
文本主要介紹如何校驗用戶輸入從而防止注入式攻擊.校驗用戶輸入是非常必要的,幾乎所有程序級的攻擊都包含惡意輸入的手段.
你應該校驗包括字段,查詢字符串參數, Cookie等一切使用者輸入項目來保護你的程式免受注入攻擊.你得假設所有的使用者輸入都是惡意的,確保在伺服器端對所有的使用者輸入進行校驗.使用基於客戶端的驗證可以減少頁面的住返次數,改進性能,改善用戶體驗,但是不要僅僅依賴於此,因為客戶端的驗證很容易就可以被黑客騙過去.
為了驗證輸入內容,你應該為每一個輸入字段定義可接受的輸入規則.比較好的作法是從輸入字段的長度,範圍,格式,類型來作約束.使用可接受的字符約束列表而不是非法字符列表來約束輸入.使用非法字符列表約束的方式不好,是因為你幾乎不可能過濾所有的有害輸入.
如果你需要接受HTML字元輸入,最好使用HtmlEncode之類的方法將它進行編碼確保安全再將它們顯示出來.
內容:
目的
總括
分步實施提要
第一步. 使用ASP .NET 請求校驗.
第二步. 使用權用約束輸入.
第三步. 對不安全的輸入進行編碼.
第四步. 對Sql語句使用命令參數方式.
第五步. 驗證ASP.NET的錯誤沒有被傳回客戶端.
額外的資源
-------------------------------------------------- ------------------------------
目的:
對輸入的字符串長度,範圍,格式和類型進行約束.
在開發ASP.NET程式時使用請求驗證防止注入攻擊.
使用ASP.NET驗證控制項進行輸入驗證.
對不安全的輸出編碼.
使用指令參數集模式防止注入攻擊.
防止錯誤的詳細資訊被返回到客戶端.
概述:
你應該在程式中驗證所有的不信任輸入.你應該假定所有的用戶輸入都是非法的.用戶可以在應用程式中提供表單欄位,查詢字符串,客戶端cookies和瀏覽器環境值例如用戶代理字符串和IP位址等.
弱輸入校驗通常為注入攻擊提供了機會.下面是常見的利用弱輸入校驗或無輸入校驗進行攻擊的手段.
SQL 注入(SQL injection). 如果你使用使用者的輸入值來動態建構SQL語句,那麼資料庫可能執行攻擊性的有害SQL語句.
跨站腳本(Cross-site scripting). 跨站腳本攻擊利用網頁驗證漏洞注入客戶端腳本.接下來這些代碼被發送到受信任的客戶端電腦上並被瀏覽器解釋執行.因為這些代碼來自受信任的站點,所以瀏覽器無法得知這些代碼是有害的.
未授權的檔案存取(Unauthorized file access).如果你的程式碼從呼叫者那裡接受輸入,惡意使用者可以看到你對檔案的操作過程從而存取那些受保護的檔案或使用你的程式碼注入非法資料.
注意: 注入攻擊可透過使用HTTP或HTTPS Secure Socket Layer(SSL) 連接. 傳輸加密技術不能用來防禦攻擊.
通常的輸入驗證方法總結如下.你應在所有的需要通過網絡輸入的地方進行驗證,例如文字方塊和其它表單輸入字段, 查詢字符串參數,cookies,伺服器端變數和網路方法參數.注意,過濾策略應該是只允許正確的輸入然後拒絕非法輸入.這是因為定義正確的輸入策略比過濾所有的非法輸入要容易,那通常很難包括所有的非法輸入.
通入如下幾個方面驗證輸入內容:
約束.驗證是否輸入的是正確的類型,字元長度,格式和範圍.可以應用ASP.NET驗證控制項來約束伺服器控制項輸入.約束其它來源的輸入可以使用正規表示式和自訂的驗證規則.
拒絕.檢測已知的有害資料輸入並拒絕.
過濾.有時候你會希望過濾掉用戶輸入中那些有安全隱患的那些部分.例如,你的程式允許自由格式的輸入,比如備註字段,你會允許特定的安全HTML標記象<b>,<i >及其它的HTML標記.
步驟提要
透過以下步驟保護你的ASP.NET程式不受注入式攻擊危害:
第一步.使用ASP.NET請求驗證.
第二步.約束輸入.
第三步.對不安全的輸出進行編碼.
第四步.對SQL查詢語句使用指令參數.
第五步.驗證ASP.NET的出錯訊息沒有洩漏至客戶端.
下面的章節將對這些步驟進行詳細討論.
第一步.使用ASP.NET請求驗證.
預設地,ASP.NET 1.1和2.0請求驗證會對發送至伺服器的資料檢測是否含有HTML標記元素和保留字元.這可以防止用戶向程式中輸入腳本.請求驗證會對照一個有潛在威脅的字串列表進行匹配,如果發現異常它會拋出一個HttpRequestValidationException類型的異常.
你可以在你的web.config文件中的< pages>元素中加入validateRequest="false" 或在單獨的頁面的@Pages元素裡面設定ValidateRequest = "false"來停用此項功能.
如果你想要停用請求驗證功能,你可以只在需要的頁面停用它.例如你在程式頁面上包含一個可接受HTML格式輸入的字段.
確定在Machine.config文件中請求驗證功能被打開.
請求驗證功能在ASP.NET中被默認啟用.你可以在Machine.config.comments文件中看到如下的預設設定.
<pages validateRequest = "true" ... />
確認你沒有修改你的伺服器的Machine.config和應用程式的Web.config檔案裡的預設設定.
測試ASP.NET請求驗證
你可以測試請求驗證的作用.建立一個ASP.NET頁面透過設定ValidateRequest = "fasle"禁用請求驗證,程式碼如下:
<%@ Language="C#" ValidateRequest="false" %>
<html>
<script runat="server">
void btnSubmit_Click(Object sender, EventArgs e)
{
// If ValidateRequest is false, then 'hello' is displayed
// If ValidateRequest is true, then ASP.NET returns an exception
Response.Write(txtString.Text);
}
</script>
<body>
<form id="form1" runat="server">
<asp:TextBox id="txtString" runat="server"
Text="<script>alert('hello');</script>" />
<asp:Button id="btnSubmit" runat="server" OnClick="btnSubmit_Click"
Text="Submit" />
</form>
</body>
</html>
當你執行頁面的時候,"Hello"被顯示在一個訊息框中,因為在txtString中的腳本被執行並被客戶端的瀏覽器處理.
如果你設定ValidateRequest = "true" 或移除ValidateRequest頁面屬性,ASP .NET請求驗證會拒絕腳本輸入並拋出一個像下面這樣的錯誤訊息.
A potentially dangerous Request.Form value was detected from the client (txtString="<script>alert('hello").
注意不要僅依賴請求驗證功能,而只是把它作為自定驗證的輔導手段.
第二步.約束輸入
要約束輸入通過如下方法:
使用伺服器端的輸入驗證.不要依賴客戶端的驗證,因為它很容易就被繞過.使用客戶端驗證是為了減少頁面返住次數提升性能,改進用戶體驗.
驗證輸入的長度,範圍,格式和類型.確保輸入內容是符合要求的正確內容.
使用強資料類型.為數字類型的輸入指定如Integer或Double的類型.為字元輸入指定為String資料類型.為日期時間輸入指定DateTime類型.
要驗證表單裡面的HTML控制項輸入字段,在伺服器端程式碼中進行驗證,使用Regex正則表達式類型可以幫助約束字元輸入.下面的章節介紹如何約束普通輸入類型的變數.
驗證字串字段
要驗證字串欄位,如姓名,地址,傳真,生份證號碼,使用正規表示式.
約束可接受的字元範圍.
啟動格式規則.例如,基於模式的欄位如稅號,郵遞區號,郵遞區號需要規定的字元模式.
驗證長度.
使用正規表示式驗證控制項(RegularExpresionValidator)
要使用則表達式驗證控制項需要設定待驗證的控制項名稱(ControlToValidate),驗證運算式(ValidationExpression)和出錯提示(ErrorMessage).相關的屬性設定請看下面的程式碼範例.
<form id="WebForm" method="post" runat="server">
<asp:TextBox id="txtName" runat="server"></asp:TextBox>
<asp:RegularExpressionValidator id="nameRegex" runat="server"
ControlToValidate="txtName"
ValidationExpression="^[a-zA-Z'.s]{1,40}$"
ErrorMessage="Invalid name">
</asp:regularexpressionvalidator>
</form>
在上面的程式碼中,正規表示式被用於限定輸入的名字為字母(允許大寫字母和小寫字母),空格,單名省略號象O'Dell和句點.此外,輸入的字元長度被限定在40個字元.
注意正規表示式驗證控制項(RegularExpressionValidator)會自動加入脫字符(^)和美元符號($)作為開始和結束的分隔符號.如果你沒有在自訂的表達式中加入他們那麼最好加入.加入分隔符號只是為了讓你的表達式得到想要的那部分資料內容.
使用正規表示式類別(Regex Class)
如果你沒有使用伺服器端的控制項(意味著你不能使用驗證控制項),或者你需要其它的輸入欄位來源而非表單欄位(例如查詢字符串參數和cookies),那麼你可以使用正規表示式類別(Regex class).
使用正規表示式類別
加入使用using前綴的語句導入System.Text.RegularExpressions命名空間.
確認正規表示式包含"^"和"$"(字符串開始處,字符串結束處).
呼叫Regex類別的IsMatch方法,下面是程式碼範例.
// Instance method:
Regex reg = new Regex(@"^[a-zA-Z'.s]{1,40}$");
Response.Write(reg.IsMatch(txtName.Text));
// Static method:
if (!Regex.IsMatch(txtName.Text,@"^[a-zA-Z'.s]{1,40}$"))
{
// Name does not match expression
}
如果你不能把經常使用的正則表達式緩存起來,你應該使用IsMatch靜態方法來改進性能防止不必要的對象創建過程.
驗證數字字段
在大多數情況下,應該驗證數字的輸入和範圍.使用服務器控件驗證數字欄位的輸入和範圍,使用RangeValidator控制項.RangeValidator支援貨幣,日期,整數,雙精度和字串類型的資料.使用RangeValidator控制
項需要設定需要驗證的控制項名稱(ControlToValidate),類型(Type),最小值(MinimumValue),最大值(MaximumValue),和出錯提示訊息(ErrorMessage)屬性.下面是程式碼範例:
<asp:RangeValidator
ID="RangeValidator1"
Runat="server"
ErrorMessage="Invalid range. Number must be between 0 and 255."
ControlToValidate="rangeInput"
MaximumValue="255"
MinimumValue="0" Type="Integer" />
如果你沒使用伺服器控件,你可以將輸入值轉換成整數再進行驗證來完成數字的範圍驗證.例如,要驗證一個整數是否合法,使用ASP.NET2.0提供的新方法Int32.TryParse將輸入值轉換為System.Int32的變數類型.這個方法會在轉換失敗時回傳false.
Int32 i;
if (Int32.TryParse(txtInput.Text, out i) == false)
{
// Conversion failed
}
如果你使用早先的ASP.NET版本,可以在try/catch語句區塊中使用Int32.Parse或Convert.ToInt32方法並且可以在轉換失敗時處理拋出的FormatException錯誤.
下面的範例程式碼示範如何驗證來自HTML文字方塊的整數類型的類型和範圍.
<%@ Page Language="C#" %>
<script runat="server">
void Page_Load(object sender, EventArgs e)
{
if (Request.RequestType == "POST")
{
int i;
if (Int32.TryParse(Request.Form["integerTxt"], out i) == true)
{
// TryParse returns true if the conversion succeeds
if ((0 <= i && i <= 255) == true)
{
Response.Write("Input data is valid.");
}
else
Response.Write("Input data is out of range");
}
else
Response.Write("Input data is not an integer");
}
}
</script>
<html>
<body>
<form id="form1" action="NumericInput.aspx" method="post">
<div>
Enter an integer between 0 和 255:
<input name="integerTxt" type="text" />
<input name="Submit" type="submit" value="submit" />
</div>
</form>
</body>
</html>
驗證日期欄位
你需要驗證日期欄位是否是正確的類型.在大多數情況下,你也需要驗證它們的範圍,如驗證它們是否是將來或是過去的時間.如果你使用伺服器控制項來擷取一個日期輸入值,同時你希望這個值在一個特定的範圍內,你可以使用範圍驗證控件(RangeValidator)並設置它允許的類型為Date類型.這個控件允許你指定一個特殊的時間段通過設置起始的時刻.如果你需要以今天的時間作為參照來驗證,例如驗證一個時間是在將來還是過去,你可以使用CustomValidator驗證控制項.
使用CustomValidator控制項來驗證一個日期需要設定ControlToValidate和ErrorMessage屬性,在OnServerValidate事件中指定一個自訂的驗證邏輯方法.下面是範例程式碼.
<%@ Page Language="C#" %>
<script runat="server">
void ValidateDateInFuture(object source, ServerValidateEventArgs args)
{
DateTime dt;
// Check for valid date and that the date is in the future
if ((DateTime.TryParse(args.Value, out dt) == false) ||
(dt <= DateTime.Today))
{
args.IsValid = false;
}
}
</script>
<html>
<body>
<form id="form1" runat="server">
<div>
<asp:Label ID="Label1" Runat="server"
Text="Future Date:"></asp:Label>
<asp:TextBox ID="futureDatetxt" Runat="server"></asp:TextBox>
<asp:CustomValidator
ID="CustomValidator1" Runat="server"
ErrorMessage="Invalid date. Enter a date in the future."
ControlToValidate="futureDatetxt"
OnServerValidate="ValidateDateInFuture">
</asp:CustomValidator>
<br />
<asp:Button ID="submitBtn" Runat="server" Text="Submit" />
</div>
</form>
</body>
</html>
注意上面的程式碼使用的方法DateTime.TryParse是ASP.NET2.0提供的新方法.
過濾自由文字欄位
過濾輸入,你需要使不安全的輸入不被當作程式碼來對待.例如,你的程式使用戶不能讀取共享資料庫內的資料,你首先需要過濾資料使它們在輸出的時候沒有危險.使用HttpUtility.HtmlEncode方法先對輸入值進行編碼.
允許有限的輸入HTML代碼
在@ Page頁面元素內加上以下欄位ValidateRequest = "false"禁用ASP.NET請求驗證使用HtmlEncode方法對輸入的字串進行編碼使用StringBuilder物件,呼叫它的Replace方法對字元中的HTML進行替換下面的程式碼給出了這種辦法的範例.此頁面設定ValidateRequest = "fasle"禁用了ASP.NET請求驗證.它的HTML編碼為了顯示簡單的文字格式允許使用<b>和<i>標記.
<%@ Page Language="C#" ValidateRequest="false"%>
<script runat="server">
void submitBtn_Click(object sender, EventArgs e)
{
// Encode the string input
StringBuilder sb = new StringBuilder(
HttpUtility.HtmlEncode(htmlInputTxt.Text));
// Selectively allow and <i>
sb.Replace("<b>", "<b>");
sb.Replace("</b>", "");
sb.Replace("<i>", "<i>");
sb.Replace("</i>", "");
Response.Write(sb.ToString());
}
</script>
<html>
<body>
<form id="form1" runat="server">
<div>
<asp:TextBox ID="htmlInputTxt" Runat="server"
TextMode="MultiLine" Width="318px"
Height="168px"></asp:TextBox>
<asp:Button ID="submitBtn" Runat="server"
Text="Submit" OnClick="submitBtn_Click" />
</div>
</form>
</body>
</html>
驗證查詢字符串的值
驗證查詢字符串的長度,範圍,格式和類型.通常,你使用一個合併的正則表達式來完成以下任務:
約束輸入值設置明確的範圍檢查條件指定輸入的類型並將它轉換成ASP.NET平台下的類型,處理任何由類型轉換引發的異常下面的程式碼範例演示了使用Regex類別驗證由查詢字符串傳遞過來的名字字串
void Page_Load(object sender, EventArgs e)
{
if (!System.Text.RegularExpressions.Regex.IsMatch(
Request.QueryString["Name"], @"^[a-zA-Z'.s]{1,40}$"))
Response.Write("Invalid name parameter");
else
Response.Write("Name is " + Request.QueryString["Name"]);
}
驗證Cookie值
象查詢字符串這樣被保存在Cookie裡面的值很容易被用戶修改.同樣地驗證這些值的長度,範圍,格式和類型.
驗證文件和URL地址
如果你的程序允許輸入文件名,文件地址或文件存放路徑,你需要驗證它們的格式是否正確並且根據你的程式實際情況它指向一個有效的位置.如果此步驗證失敗,你的程式可能會被錯誤地要求訪問文件.
驗證文件路徑
為了避免你的程式被使用者利用來存取檔案,防止接受使用者編寫程式碼輸入的檔案或檔案路徑.例如:
如果你接受輸入檔案名稱,使用System.IO.Path.GetFileName方法取得檔案的全名如果您不得不接受輸入檔路徑,使用System.IO.Path.GetFullPath來取得完整的檔案路徑使用MapPath方法防止跨應用程式的映射
如果你使用MapPath方法在伺服器上映射一個提供的虛擬目錄到一個實體目錄,使用Request.MapPath方法的一個帶有bool參數的重載版本來防止跨應用程式的映射.下面是此項技術的範例程式碼:
try
{
string mappedPath = Request.MapPath( inputPath.Text,
Request.ApplicationPath, false);
}
catch (HttpException)
{
// Cross-application mapping attempted
}
最終的false參數將會防止跨應用程式的對應.這表示使用者不允許使用".."這樣的語法提供一個不在你所指定的虛擬目錄裡面的非法路徑.
如果你使用伺服器控件,你可以使用Control.MapPathSecure方法取得虛擬目錄對應的實際目錄位址.
Control.MapPathSecure方法在存取一個非授權的檔案時拋出一個HttpException的異常.需要更多信息,請參考.NET Framework文檔中的Control.MapPathSecure方法介紹.
使用程式碼存取安全機制限製檔案輸入輸出
管理員可以透過設定程式使它的可信度為"中"來限製程式向它所在的虛擬目錄讀寫檔案的能力. .NET程式碼安全機制可以保證程式在它所在的虛擬目錄之外沒有任何的檔案存取權利.
要設定一個應用程式的信任度為"中",可以在Web.config或Machine.config檔中加入:
< trust level = "Medium" />
驗證URL
你可以用像下面的這樣的正規表示式來對URL進行特徵匹配.
^(?:http|https|ftp)://[a-zA-Z0-9 .-]+(?::d{1,5})?(?:[A-Za-z0-9.;:@&=+$,? /]|%u[0-9A-Fa-f]{4}|%[0-9A-Fa-f]{2})*$
這只是約束輸入的格式,不驗證它是否在應用程式可接受的範圍內.你應該驗證它是否在你的程式的上下文中有效.例如,您的應用程式是否跟你指定的伺服器進行通訊?
第三步.對不安全程式碼進行編碼
如果您輸入文字輸入到一個網頁,使用HttpUtility.HtmlEncode方法對它進行編碼.如果這些文來自於用戶輸入,數據庫或者一個本地文件,請確保總是這樣做.
同樣地,如果您書寫的URL裡麵包含不安全的字符因為他們來自於使用者輸入內容,資料庫等,使用HttpUtility.UrlEncode方法進行編碼.
為了防止儲存資料前編碼可能會使儲存的資料受到破壞,請確保在將它們顯示出來時盡可能後面的步驟將它們編碼.
使用HtmlEncode對不安全的輸出編碼
HtmlEncode對HTML標記置換成特殊含文的字串來表示這些符號而又讓瀏覽器不把它們當作HTML標記來解釋處理.例如."<"被置換成< " (冒號) 被替換成" 這些標記被顯示成無害的文字.
<%@ Page Language="C#" ValidateRequest="false" %>
<script runat="server">
void submitBtn_Click(object sender, EventArgs e)
{
Response.Write(HttpUtility.HtmlEncode(inputTxt.Text));
}
</script>
<html xmlns=" http://www.w3.org/1999/xhtml " >
<body>
<form id="form1" runat="server">
<div>
<asp:TextBox ID="inputTxt" Runat="server"
TextMode="MultiLine" Width="382px" Height="152px">
</asp:TextBox>
<asp:Button ID="submitBtn" Runat="server" Text="Submit"
OnClick="submitBtn_Click" />
</div>
</form>
</body>
</html>
查看HTML編碼的效果,請建立一個虛擬目錄將前述的文件放進去,運行此頁面,在文本框中輸入一些HTML代碼,點擊提交按鈕.例如,下面的輸入被當作普通文本來顯示.
Run script and say hello <script>alert('hello');</script>
如果你移除呼叫HtmlEncode方法,簡單地輸入文字的內容,瀏覽器會執行程式碼並彈出一個提示框.
使用UrlEncode 方法對不安全的URL位址進行編碼
如果你需要取得有使用者輸入部分的URL參數,這可能帶來一定的安全風險,使用HttpUtility.UrlEncode方法對這個位址字串編碼.
HttpUtility.UrlEncode(urlString);
第四步.對SQL語句使用指令參數方式.
為了避免注入式攻擊請使用SQL的參數方式.參數(Parameters)集合提供類型檢測和長度檢測.如果你使用參數集合,輸入的內容將被當作文字值來對待,資料庫不會執行包含在其中的代碼.使用參數集方式的一個額外的好處是,你可以嚴格限定輸入的類型和長度.如果輸入型超出範圍將會觸發異常.
當調用一個存儲過程時使用參數集
下面的程式碼片段示範了在呼叫預存程序時使用參數集的範例.
SqlDataAdapter myCommand = new SqlDataAdapter("AuthorLogin",
myConnection);
myCommand.SelectCommand.CommandType = CommandType.StoredProcedure;
SqlParameter parm = myCommand.SelectCommand.Parameters.Add(
"@LoginId", SqlDbType.VarChar, 11);
parm.Value = Login.Text;
在創建你自己的SQL語句時使用參數集.
如果你不能使用預存程序,你仍然可以使用參數集,請看下面的程式碼.
SqlDataAdapter myCommand = new SqlDataAdapter(
"SELECT au_lname, au_fname FROM Authors WHERE au_id = @au_id", myConnection);
SQLParameter parm = myCommand.SelectCommand.Parameters.Add(
"@au_id" ,SqlDbType.VarChar, 11);
Parm.Value = Login.Text;
如果需要取得更多的如果防止SQL注入攻擊的資訊請參考How to : Protect From SQL Injection in ASP.NET
第五步.驗證ASP.NET的錯誤訊息沒有被回到客戶端
你可以使用<customErrors>元素來設定客戶端,一般的錯誤訊息應該被程式錯誤偵測機制回到客戶端.
請確認已經更改web.config中的mode屬性為"remoteOnly",下面是範例.
<customErrors mode = "remoteOnly">
安在裝了一個ASP.NET 的程式之後,你可以依照下列設定指定客戶端的錯誤訊息頁面。
<customErrors mode = "on" defaultRedirect = "YourErrorPage.htm">
額外的資源,請查看相關主題內容:
在ASP.NET中如何使用正規表示式約束輸入.
防止SQL注入攻擊
防止跨站腳本攻擊
PS: 終於翻完了啊,真累,花了將近三天的時間,其實看看這些句子都很簡單的。我第一次做翻譯,譯得不好的話請大家多多包涵,謝謝。