[翻译] ASP.NET MVC Tip #10 – 防止URL操作攻击

图1 – Index.aspx

如果病人尚未登录，他将被重定向到如图2所示的Login视图。病人必须输入正确的凭证才能查看他的病历记录（凭证存放在Web.config中）。

图2 – Login.aspx

通过验证后，病人会看到图3所示的Summary视图。该视图显示了一个列表，给出了一组指向详细病历记录的链接。数据记录的获取是根据病人的用户名进行的。

图3 – Summary.aspx

最后，如果病人单击了一个病历记录链接，他就会看到如图4所示的Details视图。该视图显示了一条单独的记录。

图4 – Details.aspx

这里就是黑客能够通过URL操作攻击来窃取病人数据的地方了。注意图4中用于为Phil（病人名）获取详细数据的URL。该URL看上去是这样的：

http://localhost:48583/MedicalHistory/Details/6

该URL非常直观。请求这个URL可以获取数据库中Id是6的数据。由于这个URL是如此的直观，你可以很容易将其修改为另外一个编号——

http://localhost:48583/MedicalHistory/Details/4

修改了URL之后，Phil可以看到Rob的私人病历记录，如图5所示。这恐怕不好吧。

图5 – Phil可以看到Rob的私人记录

清单1列出了用于返回Summary和Details视图的控制器。这样编写控制器导致该医院网站为URL操作攻击敞开了大门。

清单1 – MedicalHistoryCotroller.cs
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;
using Tip10.Models;

namespace Tip10.Controllers
{
public class MedicalHistoryController : Controller
{
private readonly MedicalHistoryDataContext _db;

public MedicalHistoryController()
: this(new MedicalHistoryDataContext())
{ }

public MedicalHistoryController(MedicalHistoryDataContext dataContext)
{
_db = dataContext;
}


public ActionResult Summary()
{
// Authenticate Guard Clause
if (!User.Identity.IsAuthenticated)
{
return RedirectToAction(“Login”, “Home”);
}

// Show summary of medical history
var records = from r in _db.MedicalHistories
where r.PatientUserName == User.Identity.Name
orderby r.EntryDate
select new SummaryMedicalHistory {Id=r.Id, EntryDate=r.EntryDate, Subject=r.Subject};
return View(records);
}

public ActionResult Details(int id)
{
// Authenticate Guard Clause
if (!User.Identity.IsAuthenticated)
{
return RedirectToAction(“Login”, “Home”);
}

// Show detailed medical record
var record = _db.MedicalHistories.SingleOrDefault(r => r.Id == id);

return View(record);
}


}
}
MedicalHistoryController暴露了两个操作，名字分别是Summary和Details。两个操作都从MedicalHistory数据表中获取数据。

Summary操作并没有为URL操作攻击敞开大门。在获取数据库记录时，记录是针对当前病人的用户名检查过的。记录是通过下面的LINQ to SQL查询获取的：

var records = from r in _db.MedicalHistories
where r.PatientUserName == User.Identity.Name
orderby r.EntryDate
select new SummaryMedicalHistory {Id=r.Id, EntryDate=r.EntryDate, Subject=r.Subject};
不好的查询出现在Details操作中。当Details操作获取一条特定的数据库记录时，只使用了记录的Id：

var record = _db.MedicalHistories.SingleOrDefault(r => r.Id == id);
由于这样编写了查询，黑客只需简单地修改传给Details操作的Id就能看到其他病人的病历记录。

下面是编写查询的正确方法：

var record = _db.MedicalHistories.SingleOrDefault(r => r.Id == id &&
r.PatientUserName == User.Identity.Name);
在这个修改过的查询中，只有同时匹配指定Id和当前病人用户名的记录会返回。这个数据库查询是安全的。

针对URL操作攻击创建单元测试

在构建ASP.NET MVC网站时很容易出现错误，使得你自己被暴露在URL操作攻击下。如何防止这种错误？编写单元测试是一种办法。

考虑清单2中的单元测试。

清单2 – MedicalHistoryControllerTest.cs

清单2 – MedicalHistoryControllerTest.cs
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;
using System.Web.Routing;
using Microsoft.VisualStudio.TestTools.UnitTesting;
using System.Security.Principal;
using Tip10.Controllers;
using Tip10.Models;
using Moq;

namespace Tip10Tests.Controllers
{
[TestClass]
public class MedicalHistoryControllerTest
{
const string testDBPath = @”C:\\Users\\swalther\\Documents\\Common Content\\Blog\\Tip10 Prevent Querystring Manipulation Attacks\\CS\\Tip10\\Tip10Tests\\App_Data\\MedicalHistoryDB_Test.mdf”;

/**//// <summary>
/// Tests that Phil cannot read Rob’s database records
/// Mocks ControllerContext to mock Phil’s identity
/// and attempts to grab one of Rob’s records. The
/// result had better be null or their is a querystring
/// manipulation violation.
/// </summary>
[TestMethod]
public void DetailsCheckForURLAttack()
{
// Arrange
var testDataContext = new MedicalHistoryDataContext(testDBPath);
var controller = new MedicalHistoryController(testDataContext);
controller.ControllerContext = GetMockUserContext(“Phil”, true);

// Act
var robRecord = testDataContext.MedicalHistories
.FirstOrDefault(h => h.PatientUserName == “Rob”);
var result = controller.Details(robRecord.Id) as ViewResult;
var medicalHistory = (MedicalHistory)result.ViewData.Model;

// Assert
Assert.IsNull(medicalHistory, “Phil can read Rob’s medical records!”);
}

private static ControllerContext GetMockUserContext(string userName, bool isAuthenticated)
{
// Mock Identity
var mockIdentity = new Mock<IIdentity>();
mockIdentity.ExpectGet(i => i.Name).Returns(userName);
mockIdentity.ExpectGet(i => i.IsAuthenticated).Returns(isAuthenticated);

// Mock Principal
var mockPrincipal = new Mock<IPrincipal>();
mockPrincipal.ExpectGet(p => p.Identity).Returns(mockIdentity.Object);

// Mock HttpContext
var mockHttpContext = new Mock<HttpContextBase>();
mockHttpContext.ExpectGet(c => c.User).Returns(mockPrincipal.Object);

return new ControllerContext(mockHttpContext.Object, new RouteData(), new Mock<IController>().Object);
}
}
}
该单元测试允许你检查Details操作是否为URL操作攻击敞开了大门。这里是测试的工作流程。

首先，我创建了一个DataContext来呈现测试数据库。测试数据库中包含了两位假想病人（Phil和Rob）的病历记录。测试数据库是产品数据库的副本，但其中包含的是假数据。

接下来，我mock了ControllerContext。我必须mock一个ControllerContext，因为我想在调用Details操作时假装成是Phil。我希望测试当我被验证为是用户Phil时，是否能访问Rob的病历记录。

我是用了一个名为GetMockUserContext()的方法来mock这个ControllerContext。该法官法使用了名为Moq的Mock Object Framework。有关Moq的更多信息，请阅读下面这篇博客文章：

http://weblogs.asp.net/stephenwalther/archive/2008/06/11/tdd-introduction-to-moq.aspx

接下来，从测试数据库返回了一条Rob的病历记录。Rob的病历记录的Id是由Phil用户传递给Details操作的。

最后，会根据Details操作返回的记录是否为null产生一个断言。如果记录不是null，则测试会失败，Rob的记录可能会被Phil偷走。

小结

要小心URL操作攻击。如果你需要保护敏感数据——如病历记录和信用卡号——你需要特别小心这类攻击。在这个Tip中，我介绍了一种让你的网站更加安全的途径。请利用单元测试来针对URL操作攻击测试你的控制器操作。

如果你想试验本文中的代码，请单击下面的链接下载源代码。你需要修改MedicalHistoryControllTest文件中testDBPath的值，使其对应你机器上的测试用病历数据库。

来源：http://www.cnblogs.com/AndersLiu