資安JAVA(三二): Access Control (2)

來源:John Melton's Weblog
標題:YEAR OF SECURITY FOR JAVA – WEEK 32 – ACCESS CONTROL (2)
作者:John Melton
What is it and why should I care?

上一篇已經提過 Access Control 的定義了。

What should I do about it?

前面提到我們可以用功能性來限制使用者的行為。第二種限制使用者行為的做法是,以資料區分─特定使用者只能存取特定資料。舉例:雖然所有登入網路銀行的使用者都能執行查詢餘額的功能,但只能顯示自己的數字。

麻煩的是我並不能替你決定應用程式中的哪些資料應具備特定存取性。若使用者的銀行帳戶應限縮存取權限,你也需要思考資料的儲存位置和連接使用者的銀行帳戶。然後適當的從資料庫使用查詢句撈資料。資料分類( data labeling)是目前常見的技術,缺點是需投入大量成本,如果你需要的是這種大型解決方案,你對存取控制應該有了一定認識。

另一個相關的議題是,許多框架都沒有提供以資料為主的存取控制 API ,,通常都需要你自己實作相關的 API。自訂的API通常只有你最關心的部分,不夠周全。某些 API 很安全,某些則不。所以,你的開發流程應該包括如何辨識哪些資料只能被特定使用者讀取,如何實作集中式的存取控制 API 。你也許會有類似以下的 API 格式:

if(isAuthorized(Bill, VIEW, Account.class, 17398)) {
//執行工作
} else {
//使用者正在做奇怪的事、或應用程式有 bug 或傳送事件給入侵偵測系統 appsensor
}
上面的 code 意思是確認 Bill (使用者)是否被允許執行顯示帳戶(功能) 17398 的餘額(資料)。假設你的 API 有這樣的邏輯,相信你已經做得比大部分應用程式還優秀。下一篇存取控制將討論存取控制中資料的其他議題。這兩篇文章的功能+資料的流程已經能提供很多幫助,只要你正確的、持續的堅持下去。

下個小結論,實作存取控制中的資料存取實際上比功能存取還要複雜,因為目前並不存在通用性的框架,和資料模型有高度相關性。但只要謹慎的實作 API,你比較容易持續使用下去。

參考資料
———–
https://www.owasp.org/index.php/Category:Access_Control
https://www.owasp.org/index.php/Guide_to_Authorization
https://www.owasp.org/index.php/Access_Control_Cheat_Sheet
http://www.youtube.com/watch?v=VL807kdpBpo


———–———–
資安Java: 上一篇 || 下一篇
———–———–

留言

張貼留言

這個網誌中的熱門文章

資安JAVA(八):HTTP強制傳輸安全(HSTS)

圖片
來源: John Melton's Weblog 標題:YEAR OF SECURITY FOR JAVA – WEEK 8 – HTTP STRICT TRANSPORT SECURITY 作者:John Melton 內文: Safe path. What is it and why should I care? HTTP強制安全傳輸技術,強制所有瀏覽器只能透過SSL或TLS連線到網站。 只要在HTTP網頁標頭加上特殊的HSTS,支援HSTS的瀏覽器就會限定只能經由HTTPS連線。以下是流程: 第一步,使用者造訪網站,不論透過HTTP或HTTPS。通常大部分是HTTP。 第二步,網站輸出網頁,內容包含HSTS標頭。90天內都只能透過HTTPS連線。 第三步,支援HSTS的瀏覽器90天內都不會送出 "非SSL" 的要求給網站。
更多詳細 »

以 SharpPcap 實作可收聽封包的 C# 程式

有個需求是收聽網站的流量,檢查是否有包含特定格式資訊的封包。從幾天前開始思考相關實作的問題。 如何檢查有人透過 Http 方式連線到網站? 側錄本機或同網段的封包才能滿足收聽的需求。Http協定送出的封包,到了底層是走tcp/ip,只要能夠抓取tcp/ip封包,並轉換成可處理的格式,就能檢查是否有人送出資訊。 今天的情境是要監聽同網段的網站流量,於是開始搜尋可用工具。其中,在Windows環境最有名的就是 WinPcap ,網路上已經有熱心人士提供包裹在 C# 的元件,只要先安裝好WinPcap,然後下載元件到自己的應用程式,即可收聽封包。該元件就是 SharpPcap ,2004年,美國的 Tamir Gal 為了完成大學的專案,在.NET 應用程式中使用 WinPcap 的功能,因此順便開發了SharpPcap 。他甚至寫了範例,使得開發人員可以更快學習如何利用他的元件,詳細資料請到  他的網站 。 如何使用SharpPcap ? 第一,下載 WinPcap,並妥善安裝完畢。( 下載連結 ) 第二,下載 SharpPcap 。( 下載連結 ) 第三,將 PacketDotNet.dll 和 SharpPcap.dll 加入到應用程式的參考中。 using SharpPcap; using SharpPcap.LibPcap; using PacketDotNet;
更多詳細 »

資安JAVA(四):Session Cookie HTTPOnly Flag

圖片
來源: John Melton's Weblog 標題:YEAR OF SECURITY FOR JAVA – WEEK 4 – SESSION COOKIE HTTPONLY FLAG 作者:John Melton 內文: What is it and why do I care? Session cookies(或是包含 JSESSIONID 的 cookie)用來管理WEB應用程式的 Session。這些 Cookies 包含特定使用者的 Session ID 的參考值,而同樣的 ID 也放在伺服器端並可識別該使用者其他的 Session 資料。這是最常用的管理方式,因為 cookies 會隨著每次 request 送出。 HttpOnly flag 作用是預防攻擊者透過 XSS 弱點獲得 session cookie。一旦 XSS 攻擊者成功,攻擊者便可以挾持受害者的 session 以合法身分登入。HttpOnly flag 對於這種攻擊十分有效。
更多詳細 »