JavaEE有一些超赞的内置安全机制,但它们远远不能覆盖应用程序要面临的所有威胁。很多常见攻击,例如跨站点脚本攻击(XSS)、SQL注入、 跨站点伪造请求(CSRF),以及XML外部实体(XXE)丝毫没有涵盖。你可以阻止web应用程序和web服务暴露于这些攻击,但这需要一定量的工作和 测试。幸运的是,Open Web Application Security Project(OWASP)公布了“10大最关键的web应用程序安全风险”的报告。
让我们来看看这些关键的风险如何应用于JavaEE的web应用程序和web服务:
1. 注入
注入发生在开发人员获取不可信的信息,例如request.getParameter(),request.getCookie(),或 request.getHeader(),并在命令接口中使用它的任何时候。例如,SQL注入在你连接不可信的数据到常规SQL查询,如“SELECT * FROM users WHERE username=‘“ + request.getParameter(“user”) + “‘ AND password=‘“ + request.getParameter(“pass”) = “‘“时发生。开发人员应该使用PreparedStatement来防止攻击者改变查询的含义和接管数据库主机。还有许多其他类型的注入,如 Command注入、LDAP注入以及Expression Language (EL) 注入,所有这些都极度危险,因此在发送数据到这些解释器的时候要格外小心。
2. 损坏的验证和会话管理
JavaEE支持身份验证和会话管理,但这里有很多容易出错的地方。你必须确保所有经过验证流量都通过SSL,没有例外。如果你曾经暴露 JSESSIONID,那么它就可被用来在你不知情的情况下劫持用户会话。你应该旋转JSESSIONID,在用户进行身份验证以防止会话固定攻击 (Session Fixation attack)的时候。你应该避免使用response.encodeURL(),因为它会添加用户的JSESSIONID到URL,使得更容易被披露或 被盗。
3. 跨站点脚本攻击(XSS)
XSS发生在当JavaEE开发人员从HTTP请求获取不可信的信息,并把它放到HTTP响应中,而没有适当的上下文输出编码的时候。攻击者可以利 用这个行为将他们的脚本注入网站,然后在这个网站上劫持会话和窃取数据。为了防止这些攻击,开发人员需要执行敏感的上下文输出编码。如果你把数据转换成 HTML,使用&#xx;格式。请务必括号HTML属性,因为有很多不同字符而不带括号的属性会被终止。如果你把不可信的数据放到 JavaScript,URL或CSS中,那么对于每一个你都应该使用相应的转义方法。并且在和嵌套上下文,如一个用Javascript写的在HTML 属性中的URL打交道时,要非常小心。你可能会想要编码库,例如OWASP ESAPI的帮助。
4. 不安全的直接对象引用
任何时候应用程序暴露了一个内部标识符,例如数据库密钥,文件名,或hashmap索引,攻击者就可以尝试操纵这些标识符来访问未经授权的数据。例 如,如果你将来自于HTTP请求的不可信的数据传递到Java文件构造器,攻击者就可以利用“../”或空字节攻击来欺骗你的验证。你应该考虑对你的数据 使用间接引用,以防止这种类型的攻击。ESAPI库支持促进这种间接引用的ReferenceMaps。
5. 错误的安全配置
现代的JavaEE应用程序和框架,例如Struts和Spring中有着大量的安全设置。确定你已经浏览过这些安全设置,并按你想要的那样设置。 例如,小心<security-constraint>中的<http-method>标签。这表明安全约束仅适用于列出的方 法,允许攻击者使用其他HTTP方法,如HEAD和PUT,来绕过整个安全约束。也许你应该删除web.xml中的<http- method>标签。
6. 敏感数据暴露
Java有大量的加密库,但它们不容易正确使用。你应该找到一个建立在JCE基础上的库,并且它能够方便、安全地提供有用的加密方法。比如 Jasypt和ESAPI就是这样的库。你应该使用强大的算法,如AES用于加密,以及SHA256用于hashes。但是要小心密码hashes,因为 它们可以利用Rainbow Table被解密,所以要使用自适应算法,如bcrypt或PBKDF2。
7. 缺少功能级访问控制
JavaEE支持声明式和程序式的访问控制,但很多应用程序仍然会选择创造它们自己的方案。像Spring框架也有基于注释的访问控制基元。最重要 的事情是要确保每一个暴露的端口都要有适当的访问控制检查,包括web服务。不要以为客户端可以控制任何东西,因为攻击者会直接访问你的端点。
8. 跨站点伪造请求(CSRF)
每个改变状态的端点需要验证请求有没有被伪造。开发人员应该在每个用户的会话中放入随机令牌,然后当请求到达的时候验证它。否则,攻击者就可以通过 链接到未受保护的应用程序的恶意IMG,SCRIPT, FRAME或FORM标签等创建“攻击”页面。当受害者浏览这种页面时,浏览器会生成一个“伪造”的HTTP请求到URL在标签中被指定的任何内容,并且 自动包括受害人的认证信息。
9. 使用带有已知漏洞的组件
现代的JavaEE应用程序有数百个库。依赖性解析工具,如Maven,导致了这个数字在过去五年时间里出现爆炸式增长。许多广泛使用的Java库 都有一些已知的漏洞,会让web应用程序被完全颠覆。解决的办法是及时更新库。不要只运行单一扫描,因为新的漏洞每天都在发布。
10. 未经验证的转址和转送
任何时候你的应用程序使用不可信的数据,例如request.getParameter()或request.getCookie(),在调用 response.sendRedirect()时,攻击者可以强制受害者的浏览器转到一个不受信任的网站,目的在于安装恶意软件。forward也存在 着类似的问题,不同之处在于攻击者可以转送他们自己到未经授权的功能,如管理页面。一定要仔细验证转址和转送目标。
你应该持续留意这些问题。新的攻击和漏洞总是在被发现。理想情况下,你可以集成安全检查到现有的构建、测试和部署过程。
要在应用程序中检查这些问题,可以尝试免费的Contrast for Eclipse插件 。这不是一个简单的静态分析工具。相反,C4E利用Java仪表化API,来监视应用程序中与安全相关的一切。 C4E甚至能实时地做到完整的数据流分析,因此它可以跟踪来自于请求的数据,通过一个复杂的应用程序。例如,假设你的代码获取了一个参数值,用 base64解码它,再存储于map中,把map放到数据bean中,再将bean存储到一个会话属性中,在JSP中获取bean的值,并使用EL将这个 值插入到网页。Contrast for Eclipse可以跟踪这些数据并报告XSS漏洞。哪怕你正在使用的是复杂的框架和库。没有其他工具能在速度,精度和易用性方面与之媲美。
你可以在Eclipse Marketplace找到Contrast for Eclipse。然后,只需转到服务器选项卡“Start with Contrast”——剩下的就交给它办吧。
作者:小峰来源:码农网
译文链接:http://www.codeceo.com/article/10-security-controls-in-javaee.html
英文原文:The 10 Most Important Security Controls Missing in JavaEE
分享到:
相关推荐
win7修复本地系统工具
《自动化专业英语》04-Automatic-Detection-Block(自动检测模块).ppt
《计算机专业英语》chapter12-Intelligent-Transportation.ppt
内容概要:本文详细介绍了基于西门子S7-1200博图平台的3轴伺服螺丝机程序。该程序使用SCL语言编写,结合KTP700组态和TIA V14及以上版本,实现了对X、Y、Z三个轴的精密控制。文章首先概述了程序的整体架构,强调了其在自动化控制领域的高参考价值。接着深入探讨了关键代码片段,如轴初始化、运动控制以及主程序的设计思路。此外,还展示了如何通过KTP700组态实现人机交互,并分享了一些实用的操作技巧和技术细节,如状态机设计、HMI交互、异常处理等。 适用人群:从事自动化控制系统开发的技术人员,尤其是对西门子PLC编程感兴趣的工程师。 使用场景及目标:适用于希望深入了解西门子S7-1200博图平台及其SCL语言编程特点的学习者;旨在帮助读者掌握3轴伺服系统的具体实现方法,提高实际项目中的编程能力。 其他说明:文中提供的代码示例和设计理念不仅有助于理解和学习,还能直接应用于类似的实际工程项目中。
内容概要:本文详细探讨了五种非线性滤波器(卡尔曼滤波(KF)、扩展卡尔曼滤波(EKF)、无迹卡尔曼滤波(UKF)、粒子滤波(PF)和变维卡尔曼滤波(VDKF))在水下长基线定位(LBL)系统中的应用。通过对每种滤波器的具体实现进行MATLAB代码展示,分析了它们在不同条件下的优缺点。例如,KF适用于线性系统但在非线性环境中失效;EKF通过雅可比矩阵线性化处理非线性问题,但在剧烈机动时表现不佳;UKF利用sigma点处理非线性,精度较高但计算量大;PF采用蒙特卡罗方法,鲁棒性强但计算耗时;VDKF能够动态调整状态维度,适合信标数量变化的场景。 适合人群:从事水下机器人(AUV)导航研究的技术人员、研究生以及对非线性滤波感兴趣的科研工作者。 使用场景及目标:①理解各种非线性滤波器的工作原理及其在水下定位中的具体应用;②评估不同滤波器在特定条件下的性能,以便为实际项目选择合适的滤波器;③掌握MATLAB实现非线性滤波器的方法和技术。 其他说明:文中提供了详细的MATLAB代码片段,帮助读者更好地理解和实现这些滤波器。此外,还讨论了数值稳定性问题和一些实用技巧,如Cholesky分解失败的处理方法。
VMware-workstation-full-14.1.3-9474260
DeepSeek系列-提示词工程和落地场景.pdf
javaSE阶段面试题
《综合布线施工技术》第5章-综合布线工程测试.ppt
安川机器人NX100使用说明书.pdf
内容概要:本文详细介绍了将M7120型平面磨床的传统继电器控制系统升级为基于西门子S7-1200 PLC的自动化控制系统的过程。主要内容涵盖IO分配、梯形图设计和组态画面实现。通过合理的IO分配,确保了系统的可靠性和可维护性;梯形图设计实现了主控制逻辑、砂轮升降控制和报警逻辑等功能;组态画面则提供了友好的人机交互界面,便于操作和监控。此次改造显著提高了设备的自动化水平、运行效率和可靠性,降低了维护成本。 适合人群:从事工业自动化领域的工程师和技术人员,尤其是熟悉PLC编程和控制系统设计的专业人士。 使用场景及目标:适用于需要进行老旧设备升级改造的企业,旨在提高生产设备的自动化水平和可靠性,降低故障率和维护成本。具体应用场景包括但不限于金属加工行业中的平面磨床等设备的控制系统改造。 其他说明:文中还分享了一些实际调试中的经验和技巧,如急停逻辑的设计、信号抖动的处理方法等,有助于读者在类似项目中借鉴和应用。
chromedriver-linux64-136.0.7103.48.zip
IMG_20250421_180507.jpg
《网络营销策划实务》项目一-网络营销策划认知.ppt
Lianantech_Security-Vulnerabil_1744433229
MybatisCodeHelperNew2019.1-2023.1-3.4.1
【深度学习部署】基于Docker的BERT模型训练与API服务部署:实现代码复用与模型共享
摘 要 传统办法管理信息首先需要花费的时间比较多,其次数据出错率比较高,而且对错误的数据进行更改也比较困难,最后,检索数据费事费力。因此,在计算机上安装火车票订票系统软件来发挥其高效地信息处理的作用,可以规范信息管理流程,让管理工作可以系统化和程序化,同时,火车票订票系统的有效运用可以帮助管理人员准确快速地处理信息。 火车票订票系统在对开发工具的选择上也很慎重,为了便于开发实现,选择的开发工具为Eclipse,选择的数据库工具为Mysql。以此搭建开发环境实现火车票订票系统的功能。其中管理员管理用户,新闻公告。 火车票订票系统是一款运用软件开发技术设计实现的应用系统,在信息处理上可以达到快速的目的,不管是针对数据添加,数据维护和统计,以及数据查询等处理要求,火车票订票系统都可以轻松应对。 关键词:火车票订票系统;SpringBoot框架,系统分析,数据库设计