曾经在一家公司短暂的几天工作中有过这样的经历。上班的第一天﹐同组做web的一位同事帮我开了一个账号﹐要我上公司的管理系统看一下公司的规章制度。
百无聊赖的看完后﹐随便点了一下左边的"员工基本信息查询"菜单﹐页面的数据显示区域显示"您无权限查看此页"﹐本想退出﹐但发现页面的查询条件输入区域存在﹐而且查询按钮只是灰掉而已﹐在查看原始码后﹐抱着试一下的心态﹐我在浏览器的地址栏输入一句js脚本(javascript:alert(document.all['querybtn'].disabled=false))使查询按钮启用﹐然后单击它﹐居然真的把资料给查了出来。随后又打开这个系统的其它菜单﹐发现都是把动作按钮给disable掉来管理权限(当然那天我也没做什么坏事﹐只是看了一下自己和同组人员的级别和工资而已﹕)﹐由于其它一些原因﹐几天后我就换了另一家公司)
那是一家比较大的港资企业﹐用web也开发了诸如ERP等几个大型系统﹐按道理来说﹐这样的低级失误应该不会出现﹐然而在我做web开发的这几年中﹐碰到的像这样的例子还有很多﹐例如只是通过页面按钮的隐藏和显示或者通过菜单的隐藏显示等来管理权限。这些系统对于一个有web开发经验的人来说﹐其安全形同虚设。
当然任何安全都不是绝对的﹐尤其在开放的web上更是如此。但我认为对于一个web应用程序来说﹐其安全标准至少应该是﹕
如果让自己(一个有经验的web开发人员)来攻击这个系统﹐不能做到。
关于web应用程序的安全我想提出这几个问题﹕
1.您的web应用程序的安全模块是否与系统本身的业务交杂在一起﹐以至于每次在开发新的系统时都要考虑安全问题。
2.您的安全管控的依据是什么﹐是否依赖于客户端(js,dhtml,url隐藏,request信息)?
3.您的web应用程序安全模块是否易于扩展﹐以便在新的情况出现时(如web service﹐ajax自动产生的URL请求)﹐依然能够轻松应付。
对于这几个问题﹐我的回答如下﹕
1.web应用程序的安全模块应该独立于系统本身﹐也就是说任何的web应用程序在开发的时候都不需要考虑安全问题。例如编写有关用户是否已经
认证﹐是否已经授权等代码在程序中。它应该只是一个组件﹐经过简单的配置就可以让系统有灵活的安全管控机制。
2.web应用程序的安全不应该依赖于客户端的请求信息﹐对于我们来说﹐唯一相信的只有那个request的path(因为我们是将它执行并交给客户端)﹐
对于像浏览器版本﹐querystring﹐body,headers等等都是不可靠的﹐不能做为认证依据。
3.web应用程序的安全模块应该是可以被扩展的﹐即在一套统一的架构下﹐经过扩展﹐能够应付新的情况。
接下来我会把我在web应用程序安全设计的一些经验﹐想法和大家分享﹐希望能够得到更多人的意见。