推薦 OWASP - Transport Layer Protection Cheat SheetTransport Layer Protection Cheat Sheet

昨天出來的一份傳輸層保護的Cheat Sheet

實際上主要是 TLS 的正确部署指導原則，我仔細閱讀了一遍，非常不錯。(注：TLS 1.0 和 SSL 3.0 差别很小)

最近幾年來， SSL方面的問題出的非常多，前不久的blackhat大會上就有兩場非常精彩的talk。這方面的問題也越來越引起人們的關注，可以預見到的是，在未來很長一段時間内，SSL漏洞會持續更新。

而我們今天的web應用中，很多即便部署了SSL，但可能由于部署人員對SSL、TLS認識上的不足，導緻了很多缺陷，進而引起黑客攻擊的可能。是以這份Cheat Sheet 的意義彌足珍貴，從指導性的意義上來說，可以算是填補了一項空白。

國内在SSL攻防方面的研究還處于起步階段，我現在能夠找到的文檔大部分都是國外的，國内的具有創新性的研究文檔（無論攻防），還沒有看到。

這次OWASP的 Cheat Sheet 寫的算比較全面，但是具體細節方面還是比較欠缺，很多規則所對抗的威脅隻是描述性的文字一筆帶過，要知道這裡提到的很多東西，我都看到過長篇大論的paper。是以這種概括性的東西，對于網站的安全人員來說，比較難以了解具體威脅，也難以以此為憑據去說服開發人員改變安全政策。

是以為了友善大家使用，我簡單注釋一下這篇Cheat Sheet 的幾個rule。

用TLS保護所有登入和認證頁面，這個應該很好了解。但是rule中講到login的landing page也要保護起來。這點是目前很多網站都沒有做到的。

就是 http://login.xxx.com/login.html  這個頁面，裡面包含了一個表單，送出到 https://login.xxx.com/authCheck 去驗證使用者名和密碼。這個 http://login.xxx.com/login.html 也需要改成 https://login.xxx.com/login.html ，為的是對抗攻擊者從這個login的 landing page 發起攻擊(包括篡改等)，進而竊取密碼。

敏感資訊傳輸使用TLS加密保護。

文中提到内網也一樣要做，很多安全事件是從内部發生的。

安全内容不要提供非安全的頁面

比如 https://www.xxx.com/userdata  這是一個敏感頁面，這個頁面就應該配置為隻允許 https通路，如果允許 http://www.xxx.com/userdata，那麼就可能被攻擊者利用非https頁面擷取通路的内容。

目前的W3C新标準可以通過新增加一個HTTP頭的形式強制用戶端浏覽器使用https浏覽某個域下的所有頁面，能夠起到更好的保護。不過推廣這一标準尚需要時間（浏覽器支援與更新、普及的時間成本）

重定向這個可能引起中間人攻擊，但是文中也沒給出太好的解決方案。而對于現在的網站來說，出于可用性的考慮，一些主要頁面在未來很長一段時間内還是需要使用這種重定向的方式.

頁面中混合了非https的内容的話，可能會引起DOM注入進而使得https的頁面受到威脅

這種攻擊可以叫 mixed content 攻擊

cookie 的 secure flag可以保證該cookie隻在https下發送。如果https的站點cookie沒有加這個标志，則可能在http的情況下洩露這個cookie。

注意攻擊者隻需要攻擊上行流量就可以了，即便站點不提供該域的http通路，浏覽器也會把這個cookie發送出來，進而可能被sniffer到。

敏感資訊不要放在url中

主要是一些referer中包含的資訊可能會洩露敏感資訊。

值得注意的是，從 https 跳往http，referer是不會發送的，浏覽器出于安全原因屏蔽了referer的發送。

但是 https 跳往 https仍然會發送referer

使用一個商業證書（需要從CA簽發機構購買，比如VeriSign），如果是自己生成的浏覽器會彈窗說不認識，雖然證書也能用，但是證書兩大功能之一的認證功能就不能用了。進而使得釣魚和中間人攻擊有機可乘。

現在很多網站用的證書還支援弱加密算法

今年曾經爆出的用200台PS3破解MD5也是針對SSL的攻擊，有興趣的可以google一下

SSL 2.0 已經多次被證明存在缺陷，是以任何情況下都不應該再支援。

推薦使用TLS，但是對浏覽器版本有一定的要求。

文中推薦使用2048bit的key

證書要支援所有的域和子域，因為現在很多CA機構簽發證書資質考核不嚴謹，隻要有這個域的郵箱就能夠簽發這個域的證書了，直接引起了攻擊者能夠從CA處獲得一張合法的證書。而使用0位元組等技巧更是可以欺騙浏覽器。

目前這些問題也漸漸被解決了。同時推薦使用 EV 證書，會起到更好的效果( 當然也更貴 )。

最後還是推薦仔細閱讀這份文檔，并按照其指導性原則來實施，避免好心辦壞事，釀成悲劇。