信任域:一个域包含了一个或者多个组件,不同的域有不同的权限,不同域的组件互不信任
信任边界:域之间的边界
不可信数据:来自信任边界外的数据,比如外部输入数据,第三方输入数据。
信任域A和信任域B中间有个信任边界,互相不信任!于对方而言都是不可信的数据。
不可信数据的列表:文件(包括程序的配置文件),注册表,网络,环境变量,命令行,用户输入,用户态数据,进程间通信(管道,消息,共享内存,socket,RPC),函数的参数,全局变量(其他线程可能会改变全局变量)
校验的含义
校验对象时来自边界之外的不可信数据,防止不可以或对系统造成伤害。比如SQL注入攻击,OS命令注入攻击,目录遍历攻击
数据校验的步骤
不可信输入->标准化和归一化(把路径的… 符号链接处理&&最简单格式)->输入清理(删除,替换不期望的字符,满足约束)->验证(确保输入格式是符合的)->输出清理(对敏感信息过滤,防止信息泄露)->命令解释器(下面注入攻击会用到)
注入攻击
SQL注入----命令解释器(RDBMS)
OS命令注入----命令解释器(OS)
XML注入----命令解释器(XML解析器)
上面的----分别用于处理以上的注入攻击,防止注入
案例分析:
MySQL
典型错误:直接在SQL中拼接外部输入
SELECT * FROM db_user WHERE username = ‘Ycx’ AND password= ‘password123’ or ‘1’='1’永远是真
正确:使用预编译语句,参数化查询将查询逻辑和数据分离,互不干扰。
