软件开发过程中安全代码的七大实践

众所周知，软件的安全性如今已得到了前所未有的重视程度。许多企业会将安全性嵌入到应用程序的开发阶段。这样既能有利于整体安全性的遵守，又可以在软件的不同层面上创建多个安全性检查点。本文将通过如下图所示的各种方面，以实例的形式，向您展示各种安全代码的实践。虽然主要是以Java为例，但是它们也可以被运用到任何其他编程语言上。

1.转义/逃逸输入(Escape the Input)

所谓转义攻击是指攻击者将执行命令/查询，伪装并嵌入到普通的文字输入中，通过欺骗应用程序的执行引擎，而让其能够向攻击者提供各种信息与控制权。可见，为避免此类攻击的发生，我们需要对用户的输入进行转义，将其解释为文字，而非某些命令。同理，我们也需要对存储在数据库中的数据进行转义。

试想，如果某用户在其回帖的文字输入中带有JavaScript，那么他就可以试图从浏览器中窃取到Cookie。例如，当该回帖的内容被呈现在其他用户的浏览器屏幕上时，一旦我们的程序代码不去转义帖子中的包含的恶意代码。那么该JavaScript代码将被执行，并为攻击者提取各种所需的信息与控制权。以下是带有潜在风险的数据库查询代码，和相应的采取了转义措施的Java代码。

示例：

包含潜在风险的Java代码

String query = "SELECT user_id FROM user_data WHERE user_name = '"               + req.getParameter("userID")               + "' and user_password = '" + req.getParameter("pwd") +"'"; try {     Statement statement = connection.createStatement( … );     ResultSet results = statement.executeQuery( query ); }

安全的Java代码

Codec ORACLE_CODEC = new OracleCodec(); String query = "SELECT user_id FROM user_data WHERE user_name = '" + ESAPI.encoder().encodeForSQL( ORACLE_CODEC, req.getParameter("userID")) + "' and user_password = '" + ESAPI.encoder().encodeForSQL( ORACLE_CODEC, req.getParameter("pwd")) +"'";

2.避免将ID作为序列号

在某些情况下，攻击者会设法超过现有的限制，以获取更多的信息。例如，某个API的用户只被允许查看ID号为1-100的用户信息。而如果该系统采用的是以ID为顺序的递增编号方式，那么我们就可以预测到下一个用户的序列号将是101。由此，攻击者便可以利用这一逻辑上的漏洞，来获取在其权限之外的信息。

示例：

包含潜在风险的Java代码

String sqlIdentifier = "select TESTING_SEQ.NEXTVAL from dual"; PreparedStatement pst = conn.prepareStatement(sqlIdentifier); synchronized( this ) {    ResultSet rs = pst.executeQuery();    if(rs.next())      long myId = rs.getLong(1);

安全的Java代码

// This example is for Oracle String sqlIdentifier = "select TESTING_SEQ.NEXTVAL from dual"; PreparedStatement pst = conn.prepareStatement(sqlIdentifier); synchronized( this ) {    ResultSet rs = pst.executeQuery();    if(rs.next())      long myId = rs.getLong(1) + UUID.random();

3.运用极简主义方法

为了减少攻击面，系统应采用最小的空间使用策略。从本质上说，这就意味着系统能够很好地避免各种权限的暴露。例如，根据某项业务需求，系统需要使用代码“HTTP 200”，来响应存在着被请求的资源。但是如果我们为REST API提供了get操作，那么就会增加攻击者的攻击面。相反，该系统应该只通过HTTP协议的head方法，来提供有关现有资源的信息，而不必提供更多的无关信息。

示例：

包含潜在风险的Java代码

//Get is allowed where we need to just check user exist http://localhost:8080/User/id/1

安全的Java代码

http://localhost:8080/User/id/1 Head

4.最小特权原则

让我们试想一个场景：通常，客服部门某个用户的常规访问权限是可以访问订单数据的API。但是为了简便起见或是某种原因，系统为其分配了超级管理员的角色。那么一旦他所处的系统被黑或遭到了帐号破坏，攻击者就可以利用他的超级管理员权限，来对该系统发起一系列的攻击操作。可见，为了减少攻击面，我们应当仅根据实际需求，以及既定的角色，来授予目标API相应的最小访问权限，不应该在系统中设置所谓可以访问所有内容的超级用户角色。

5.尽可能使用HTTPS或双向SSL

切勿以最原始的HTTP方式发布您的网站或是节点。毕竟如今大多数浏览器都会对那些单纯的HTTP站点显示警告。而且，业界建议针对集成的端点采用双向(2-Way)SSL方式，而对网站或站点通过HTTPS的方式，实现端到端加密。

不过，由于HTTPS只能保护了通信信道免受攻击，却无法在通道的密钥发生泄露时，保护数据。因此，业界建议使用强大的加密算法，对各种数据记录先进行加密，再通过可信的网络予以传输。

6.不要使用不安全的或弱的加密算法

如今，随着计算机算力的不断迭代与提高，弱的密钥已不再能够防止那些暴力破解的攻击手段。一些知名组织甚至将如下不安全的、或弱的加密算法，列入了所谓的“黑名单”。因此您在日常进行安全编程时，应当尽量避免使用到它们。

• SHA-1

• 1024位RSA或DSA

• 160位ECDSA(椭圆曲线)

• 80/112位2TDEA(双密钥三重DES)

• 与其他各种旧算法类似，MD5从来都不是政府可以接受的算法。

7.将动态可执行代码(Dynamically Executed Code)列入白名单

如果您有一些代码是从API或APP的用户侧传入的，或者是在用户输入之后才生成的，那么为了让它们能够作为整体流程的一部分被执行，您需要让系统将这些待执行的命令列入白名单。例如，如果系统需要公布某项服务，以列出服务器上的对应目录，那么我们就需要将ls或dir之类的命令列入白名单，并转义用户输入的标志。

小结

综上所述，我们从加密、编码、白名单、最小特权、以及转义不可信的用户输入等方面，为您罗列了日常软件开发过程中的七种安全编码的实践示例。希望它们能够协助您大幅减少软件所面临的各种安全威胁，并提高自身的代码级安全态势。