锁定：使用修订版OWASP Top Ten保证Web应用程序的安全——第五部分

直接对象引用不安全和跨站请求伪造(CSRF)是在许多Web应用程序中发现的严重缺陷。实际上，一些黑客表示，互联网上没有一个网站不会遭到某种形式的CSRF攻击。

因此，在修订版OWASP Top Ten Web应用程序脆弱性系列的第五篇文章中，说明了这两个Web应用程序弱点的本质，同时就保护Web应用程序免受相关攻击提出一些建议。

无法合理保护网站服务器上的目录和文件夹的安全，是使得直接对象引用不安全成为一种有吸引力的攻击方法的根本弱点。直接对象引用不安全脆弱性也叫做目录遍历，只需简单调整用户访问一个网站时或直接提交给桌面的脚本中的URL就可以利用这种脆弱性。这个脆弱性代替了访问控制不完善脆弱性，2004 OWASP Top 10列表中的A2。

你可以用这个标签找到这个系列的其它文章。

下面是取自Imperva网站的Web张贴中的一个例子。在图A中，系统提交一个请求获取2003年3月20日的新闻文件。假设这个HTTP请求使用用户提供的输入建立，那么它就会成为直接对象引用不安全攻击的主要目标。

图A

一个请求

如果网站开发者没有进行适当检查，只允许有效输入，那么攻击者就可以输入字符序列"../"，由当前目录跳到上一级目录。许多这种序列都可以向上遍历目录树，到达目标目录的父目录。在图B中，攻击者企图遍历四个目录来访问WINNT。如果取得成功，她就能接收到win.ini文件，而不是一个新闻文件。

图B

遍历四个目录

即使攻击不知道到底需要跳过几级目录才能到达目录树的正确位置，但利用字符串输入也不难找到结果。

防御目录遍历或直接对象引用不安全攻击的方法相当简单：

• 锁定网站服务器上的所有目录和文件夹。无论如何，通过互联网访问一台服务器的用户都不能访问除专门用于存放Web内容的目录以外的目录。
• 然后，确认所有输入。为防止目录遍历，应特别小心"../"或"..\"。这个系列的第三部分详细说明了输入确认问题。
• 让私有对象引用保持私有。