微信小程序 安全指引·后臺(tái)

微信小程序安全指引-后臺(tái)

1. 注入漏洞

注入漏洞通常是由于用戶繞過(guò)后臺(tái)代碼限制，直接在數(shù)據(jù)庫(kù)或shell 中執(zhí)行自定義代碼導(dǎo)致的。SQL注入和命令注入都是比較常見(jiàn)的注入漏洞。

1.1 SQL注入

SQL注入是指Web程序代碼中對(duì)于用戶提交的參數(shù)未做有效過(guò)濾就直接拼接到SQL語(yǔ)句中執(zhí)行，導(dǎo)致參數(shù)中的特殊字符打破了SQL語(yǔ)句原有邏輯，黑客可以利用該漏洞執(zhí)行任意SQL語(yǔ)句。

開(kāi)發(fā)建議：

1. 使用數(shù)據(jù)庫(kù)提供的參數(shù)化查詢來(lái)進(jìn)行數(shù)據(jù)庫(kù)操作，不允許直接通過(guò)拼接字符串的方式來(lái)合成SQL語(yǔ)句。
2. 如果必須要通過(guò)拼接的方式來(lái)合成SQL語(yǔ)句，那么拼接的變量必須要經(jīng)過(guò)處理：對(duì)于整數(shù)類型的變量，需要判斷其是否為整數(shù)類型；對(duì)于字符串類型的變量，需要對(duì)單引號(hào)、雙引號(hào)等進(jìn)行轉(zhuǎn)義處理。
3. 避免Web應(yīng)用顯示SQL報(bào)錯(cuò)信息。
4. 保證Web應(yīng)用的每一數(shù)據(jù)層的編碼統(tǒng)一。

1.2 命令注入

命令注入漏洞是指Web應(yīng)用未對(duì)用戶可控參數(shù)進(jìn)行有效過(guò)濾，攻擊者可以構(gòu)造惡意參數(shù)拼接到命令上來(lái)執(zhí)行任意命令。

開(kāi)發(fā)建議：

• 對(duì)用戶輸入的數(shù)據(jù)（如 ;、|、&等）進(jìn)行過(guò)濾或轉(zhuǎn)義。

2. 弱口令

弱口令指管理后臺(tái)的用戶名密碼設(shè)置得較為簡(jiǎn)單或者使用默認(rèn)帳號(hào)。攻擊者可以通過(guò)登錄這些帳號(hào)修改后臺(tái)數(shù)據(jù)或進(jìn)行下一步的入侵操作。

開(kāi)發(fā)建議：

1. 后臺(tái)服務(wù)禁用默認(rèn)帳號(hào)，修改后臺(tái)弱口令。
2. 敏感服務(wù)增加二次驗(yàn)證機(jī)制，如短信驗(yàn)證碼、郵箱驗(yàn)證碼等。

3. 文件上傳漏洞

文件上傳漏洞是指Web應(yīng)用允許用戶上傳指定文件，但未對(duì)文件類型、格式等做合法性校驗(yàn)，導(dǎo)致可以上傳非預(yù)期格式的文件。

開(kāi)發(fā)建議：

• 正確解析上傳文件的文件類型，通過(guò)白名單的方式限制可上傳的文件類型。

4. 文件下載

文件下載漏洞是指Web應(yīng)用允許用戶通過(guò)指定路徑和文件名的方式來(lái)下載對(duì)應(yīng)的文件，但未正確限制可下載文件所在的目錄范圍，導(dǎo)致預(yù)期范圍外的文件被下載泄露。

開(kāi)發(fā)建議：

1. 正確限制可下載文件所在的目錄范圍。
2. 通過(guò)指定文件id的方式來(lái)查找下載對(duì)應(yīng)的文件。

5. 目錄遍歷

目錄遍歷是指由后臺(tái)服務(wù)對(duì)用戶輸入驗(yàn)證不足或配置不嚴(yán)謹(jǐn)導(dǎo)致的服務(wù)器目錄內(nèi)容泄漏。外部可能通過(guò)目錄遍歷獲取系統(tǒng)文件、后臺(tái)代碼等敏感文件。

開(kāi)發(fā)

<本文由himall原創(chuàng)，商業(yè)轉(zhuǎn)載請(qǐng)聯(lián)系作者獲得授權(quán)，非商業(yè)轉(zhuǎn)載請(qǐng)標(biāo)明：himall原創(chuàng)>