JavaEE中遗漏的10个最重要的安全控制

本文由码农网 – 小峰原创翻译,转载请看清文末的转载要求,欢迎参与我们的付费投稿计划

JavaEE有一些超赞的内置安全机制,但它们远远不能覆盖应用程序要面临的所有威胁。很多常见攻击,例如跨站点脚本攻击(XSS)、SQL注入、跨站点伪造请求(CSRF),以及XML外部实体(XXE)丝毫没有涵盖。你可以阻止web应用程序和web服务暴露于这些攻击,但这需要一定量的工作和测试。幸运的是,Open Web Application Security Project(OWASP)公布了“10大最关键的web应用程序安全风险”的报告。

让我们来看看这些关键的风险如何应用于JavaEE的web应用程序和web服务:

1.注入

注入发生在开发人员获取不可信的信息,例如request.getParameter(),request.getCookie(),或request.getHeader(),并在命令接口中使用它的任何时候。例如,SQL注入在你连接不可信的数据到常规SQL查询,如“SELECT * FROM users WHERE username=‘“ + request.getParameter(“user”) + “‘ AND password=‘“ + request.getParameter(“pass”) = “‘“时发生。开发人员应该使用PreparedStatement来防止攻击者改变查询的含义和接管数据库主机。还有许多其他类型的注入,如Command注入、LDAP注入以及Expression Language (EL) 注入,所有这些都极度危险,因此在发送数据到这些解释器的时候要格外小心。

2.损坏的验证和会话管理

JavaEE支持身份验证和会话管理,但这里有很多容易出错的地方。你必须确保所有经过验证流量都通过SSL,没有例外。如果你曾经暴露JSESSIONID,那么它就可被用来在你不知情的情况下劫持用户会话。你应该旋转JSESSIONID,在用户进行身份验证以防止会话固定攻击(Session Fixation attack)的时候。你应该避免使用response.encodeURL(),因为它会添加用户的JSESSIONID到URL,使得更容易被披露或被盗。

3.跨站点脚本攻击(XSS)

XSS发生在当JavaEE开发人员从HTTP请求获取不可信的信息,并把它放到HTTP响应中,而没有适当的上下文输出编码的时候。攻击者可以利用这个行为将他们的脚本注入网站,然后在这个网站上劫持会话和窃取数据。为了防止这些攻击,开发人员需要执行敏感的上下文输出编码。如果你把数据转换成HTML,使用&#xx;格式。请务必括号HTML属性,因为有很多不同字符而不带括号的属性会被终止。如果你把不可信的数据放到JavaScript,URL或CSS中,那么对于每一个你都应该使用相应的转义方法。并且在和嵌套上下文,如一个用Javascript写的在HTML属性中的URL打交道时,要非常小心。你可能会想要编码库,例如OWASP ESAPI的帮助。

4.不安全的直接对象引用

任何时候应用程序暴露了一个内部标识符,例如数据库密钥,文件名,或hashmap索引,攻击者就可以尝试操纵这些标识符来访问未经授权的数据。例如,如果你将来自于HTTP请求的不可信的数据传递到Java文件构造器,攻击者就可以利用“../”或空字节攻击来欺骗你的验证。你应该考虑对你的数据使用间接引用,以防止这种类型的攻击。ESAPI库支持促进这种间接引用的ReferenceMaps。

5.错误的安全配置

现代的JavaEE应用程序和框架,例如Struts和Spring中有着大量的安全设置。确定你已经浏览过这些安全设置,并按你想要的那样设置。例如,小心<security-constraint>中的<http-method>标签。这表明安全约束仅适用于列出的方法,允许攻击者使用其他HTTP方法,如HEAD和PUT,来绕过整个安全约束。也许你应该删除web.xml中的<http-method>标签。

6.敏感数据暴露

Java有大量的加密库,但它们不容易正确使用。你应该找到一个建立在JCE基础上的库,并且它能够方便、安全地提供有用的加密方法。比如Jasypt和ESAPI就是这样的库。你应该使用强大的算法,如AES用于加密,以及SHA256用于hashes。但是要小心密码hashes,因为它们可以利用Rainbow Table被解密,所以要使用自适应算法,如bcrypt或PBKDF2。

7.缺少功能级访问控制

JavaEE支持声明式和程序式的访问控制,但很多应用程序仍然会选择创造它们自己的方案。像Spring框架也有基于注释的访问控制基元。最重要的事情是要确保每一个暴露的端口都要有适当的访问控制检查,包括web服务。不要以为客户端可以控制任何东西,因为攻击者会直接访问你的端点。

8.跨站点伪造请求(CSRF)

每个改变状态的端点需要验证请求有没有被伪造。开发人员应该在每个用户的会话中放入随机令牌,然后当请求到达的时候验证它。否则,攻击者就可以通过链接到未受保护的应用程序的恶意IMG,SCRIPT, FRAME或FORM标签等创建“攻击”页面。当受害者浏览这种页面时,浏览器会生成一个“伪造”的HTTP请求到URL在标签中被指定的任何内容,并且自动包括受害人的认证信息。

9.使用带有已知漏洞的组件

现代的JavaEE应用程序有数百个库。依赖性解析工具,如Maven,导致了这个数字在过去五年时间里出现爆炸式增长。许多广泛使用的Java库都有一些已知的漏洞,会让web应用程序被完全颠覆。解决的办法是及时更新库。不要只运行单一扫描,因为新的漏洞每天都在发布。

10.未经验证的转址和转送

任何时候你的应用程序使用不可信的数据,例如request.getParameter()或request.getCookie(),在调用response.sendRedirect()时,攻击者可以强制受害者的浏览器转到一个不受信任的网站,目的在于安装恶意软件。forward也存在着类似的问题,不同之处在于攻击者可以转送他们自己到未经授权的功能,如管理页面。一定要仔细验证转址和转送目标。

你应该持续留意这些问题。新的攻击和漏洞总是在被发现。理想情况下,你可以集成安全检查到现有的构建、测试和部署过程。

要在应用程序中检查这些问题,可以尝试免费的Contrast for Eclipse插件 。这不是一个简单的静态分析工具。相反,C4E利用Java仪表化API,来监视应用程序中与安全相关的一切。 C4E甚至能实时地做到完整的数据流分析,因此它可以跟踪来自于请求的数据,通过一个复杂的应用程序。例如,假设你的代码获取了一个参数值,用base64解码它,再存储于map中,把map放到数据bean中,再将bean存储到一个会话属性中,在JSP中获取bean的值,并使用EL将这个值插入到网页。Contrast for Eclipse可以跟踪这些数据并报告XSS漏洞。哪怕你正在使用的是复杂的框架和库。没有其他工具能在速度,精度和易用性方面与之媲美。

你可以在Eclipse Marketplace找到Contrast for Eclipse。然后,只需转到服务器选项卡“Start with Contrast”——剩下的就交给它办吧。

时间: 2024-10-26 22:58:11

JavaEE中遗漏的10个最重要的安全控制的相关文章

JavaEE中的依赖性——依赖查找

关于依赖性管理我们要介绍的第一个策略就是依赖查找(dependency lookup).这种策略是JavaEE中传统形式的依赖性管理,这里可以看到JavaEE规范中的JNDI(Java Naming andDirectoryInterface)的身影.从名字就可以看出来这里解决依赖性是通过查找的方式. 就像上篇文章提到的,所要引用的资源是通过一对name与target对应的注解标识的.name用来表明此资源被依赖时候的名字,所以当资源注解放在类定义之上的时候需要为其起个名字.但是如果资源注解放在

JavaEE中的依赖性——声明依赖性

已下小结描述了一些JavaEE和EJB规范定义的资源注解.每条注解有一个可选的name特性以指定依赖性的引用名称.注解的其他特性特定于所需获取的资源类型. 引用持久化上下文 前面的章节演示了如何通过从Persistence类返回一个EntityManagerFactory,为持久化上下文创建一个实体管理器.在JavaEE环境中,@PersistenceContext注解可以用来声明一个持久化上下文上的依赖性,并且可以自动获取那个持久化上下文所需的实体管理器. 下面代码演示了如何使用@Persis

oracle转Mysql中,varchar2(10)和number应该转换为什么类型? (转)

一. varchar2(10)和number应该转换为什么类型? oracle转成mysql时:varchar2(10)可以转成varchar(10)number则要看oracle中存储的具体是什么类型的数据:1.如果是整型,那么mysql中,用int即可:2.如果是带小数位的,那么mysql中可用numeric类型. 注:mysql中没有varchar2(10)和number这两个数据类型 二. Mysql varchar VS Oracle varchar2 mysql和oracle做数据同

编程面试中排名前10的算法

以下是在编程面试中排名前10的算法相关的概念,我会通过一些简单的例子来阐述这些概念.由于完全掌握这些概念需要更多的努力,因此这份列表只是作为一个介绍.本文将从Java的角度看问题,包含下面的这些概念: 1. 字符串 如果IDE没有代码自动补全功能,所以你应该记住下面的这些方法. toCharArray() // 获得字符串对应的char数组 Arrays.sort() // 数组排序 Arrays.toString(char[] a) // 数组转成字符串 charAt(int x) // 获得

编程面试过程中常见的10大算法(转)

以下是在编程面试中排名前10的算法相关的概念,我会通过一些简单的例子来阐述这些概念.由于完全掌握这些概念需要更多的努力,因此这份列表只是作为一个介绍.本文将从Java的角度看问题,包含下面的这些概念: 1. 字符串 如果IDE没有代码自动补全功能,所以你应该记住下面的这些方法. toCharArray() // 获得字符串对应的char数组 Arrays.sort() // 数组排序 Arrays.toString(char[] a) // 数组转成字符串 charAt(int x) // 获得

【Javaweb】修改Eclipse for JavaEE中新建Jsp的默认编码,避免每次新建都要改编码的问题

Eclipse for JavaEE中新建Jsp的默认编码是ISO-8859-1, 这让人非常苦恼,每次新建一个Jsp都要按Ctrl+F,把所有ISO-8859-1替换成utf-8,才可以. 具体如下图: 这都什么年代呢?连2010出版的Dreamweaver CS4的默认编码都是utf-8,已经不是Dreamweaver 8的gbk了.这都什么年代了,Eclipse for Javaee不国际化起来? 幸好这东西可以如下图修改,选择Windows->Perference,在弹出的窗口的输入框中

如何在 Kaggle 首战中进入前 10%

转载一篇文章 如何在 Kaggle 首战中进入前 10% Posted on 2016-04-29   |   In Data Science  | Introduction 本文采用署名 - 非商业性使用 - 禁止演绎 3.0 中国大陆许可协议进行许可.著作权由章凌豪所有. Kaggle 是目前最大的 Data Scientist 聚集地.很多公司会拿出自家的数据并提供奖金,在 Kaggle 上组织数据竞赛.我最近完成了第一次比赛,在 2125 个参赛队伍中排名第 98 位(~ 5%).因为是

巧妙利用快速排序法的原理求一个数组中的第10大元素

//快速排序法 int QuickSort_process3(int *a, int low, int high) { int l, h, temp; l = low; h = high; temp = a[low]; while (l < h){ while (l< h&&a[h] >= temp) --h; if (l < h) a[l] = a[h]; while (l < h&&a[l] < temp) ++l; if (l &l

数据结构笔记01:编程面试过程中常见的10大算法(java)

以下是在编程面试中排名前10的算法相关的概念,我会通过一些简单的例子来阐述这些概念.由于完全掌握这些概念需要更多的努力,因此这份列表只是作为一个介绍.本文将从Java的角度看问题,包含下面的这些概念: 1. 字符串 如果IDE没有代码自动补全功能,所以你应该记住下面的这些方法. toCharArray() // 获得字符串对应的char数组 Arrays.sort() // 数组排序 Arrays.toString(char[] a) // 数组转成字符串 charAt(int x) // 获得