中国电信EMA平台二期扩容安全验收：关键漏洞修复与防范策略

中国电信EMA服务管理平台二期在2011年5月进行扩容后，面临了一系列的安全漏洞问题，其中包括WEB安全方面的多个关键威胁。本文档详细总结了针对SQL注入、盲注、会话标识未更新、已解密登录请求、跨站点请求伪造（CSRF）、不充分账户封锁、不安全HTTP方法、HTTP注释中的敏感信息泄露、电子邮件地址模式识别、框架钓鱼攻击以及文件替代版本检查等方面的漏洞修复措施。 1. **SQL注入与盲注** - SQL注入是攻击者通过输入恶意SQL代码，获取、修改或删除数据库数据的一种常见手段。 - 盲注则更隐蔽，攻击者难以确定是否成功注入。修复措施包括参数化查询、输入验证和过滤，以及使用预编译语句。 2. **会话标识与更新** - 会话标识未及时更新可能导致用户信息暴露，攻击者可能利用这一点进行身份盗用。修复涉及定期刷新会话标识，以及使用HTTPS加密通信。 3. **登录请求解密** - 已解密的登录请求使密码等敏感信息易被截取，修复需实施加密传输并确保安全的cookie管理。 4. **跨站点请求伪造** - 攻击者通过伪造用户请求对系统进行操作，修复措施包括使用CSRF令牌验证和防范恶意网站链接。 5. **其他安全问题** - 包括但不限于账户封锁的充分性、禁用不安全的HTTP方法（如GET用于修改数据）、避免HTTP注释中的敏感信息泄露，以及防止框架钓鱼（利用网站结构进行欺骗）。 6. **文件替代版本检测** - 检查并防止恶意文件替换，通常通过严格控制文件上传、校验文件哈希值等手段实现。 在整个修复过程中，采用了AppScan等安全扫描工具进行评估，并根据扫描结果调整应用程序代码和配置，以确保系统的安全性。这不仅是对已有问题的修复，也是提升整体安全策略和防御能力的重要步骤。通过这些工作，中国电信EMA服务管理平台二期的安全性得到了显著提升。