`
熊likecocoa
  • 浏览: 18460 次
  • 性别: Icon_minigender_1
  • 来自: 北京
文章分类
社区版块
存档分类
最新评论

JavaEE中遗漏的10个最重要的安全控制

阅读更多
​JavaEE有一些超赞的内置安全机制,但它们远远不能覆盖应用程序要面临的所有威胁。很多常见攻击,例如跨站点脚本攻击(XSS)、SQL注入、 跨站点伪造请求(CSRF),以及XML外部实体(XXE)丝毫没有涵盖。你可以阻止web应用程序和web服务暴露于这些攻击,但这需要一定量的工作和 测试。幸运的是,Open Web Application Security Project(OWASP)公布了“10大最关键的web应用程序安全风险”的报告。

让我们来看看这些关键的风险如何应用于JavaEE的web应用程序和web服务:

1. 注入

注入发生在开发人员获取不可信的信息,例如request.getParameter(),request.getCookie(),或 request.getHeader(),并在命令接口中使用它的任何时候。例如,SQL注入在你连接不可信的数据到常规SQL查询,如“SELECT * FROM users WHERE username=‘“ + request.getParameter(“user”) + “‘ AND password=‘“ + request.getParameter(“pass”) = “‘“时发生。开发人员应该使用PreparedStatement来防止攻击者改变查询的含义和接管数据库主机。还有许多其他类型的注入,如 Command注入、LDAP注入以及Expression Language (EL) 注入,所有这些都极度危险,因此在发送数据到这些解释器的时候要格外小心。

2. 损坏的验证和会话管理

JavaEE支持身份验证和会话管理,但这里有很多容易出错的地方。你必须确保所有经过验证流量都通过SSL,没有例外。如果你曾经暴露 JSESSIONID,那么它就可被用来在你不知情的情况下劫持用户会话。你应该旋转JSESSIONID,在用户进行身份验证以防止会话固定攻击 (Session Fixation attack)的时候。你应该避免使用response.encodeURL(),因为它会添加用户的JSESSIONID到URL,使得更容易被披露或 被盗。

3. 跨站点脚本攻击(XSS)

XSS发生在当JavaEE开发人员从HTTP请求获取不可信的信息,并把它放到HTTP响应中,而没有适当的上下文输出编码的时候。攻击者可以利 用这个行为将他们的脚本注入网站,然后在这个网站上劫持会话和窃取数据。为了防止这些攻击,开发人员需要执行敏感的上下文输出编码。如果你把数据转换成 HTML,使用&#xx;格式。请务必括号HTML属性,因为有很多不同字符而不带括号的属性会被终止。如果你把不可信的数据放到 JavaScript,URL或CSS中,那么对于每一个你都应该使用相应的转义方法。并且在和嵌套上下文,如一个用Javascript写的在HTML 属性中的URL打交道时,要非常小心。你可能会想要编码库,例如OWASP ESAPI的帮助。

4. 不安全的直接对象引用

任何时候应用程序暴露了一个内部标识符,例如数据库密钥,文件名,或hashmap索引,攻击者就可以尝试操纵这些标识符来访问未经授权的数据。例 如,如果你将来自于HTTP请求的不可信的数据传递到Java文件构造器,攻击者就可以利用“../”或空字节攻击来欺骗你的验证。你应该考虑对你的数据 使用间接引用,以防止这种类型的攻击。ESAPI库支持促进这种间接引用的ReferenceMaps。

5. 错误的安全配置

现代的JavaEE应用程序和框架,例如Struts和Spring中有着大量的安全设置。确定你已经浏览过这些安全设置,并按你想要的那样设置。 例如,小心<security-constraint>中的<http-method>标签。这表明安全约束仅适用于列出的方 法,允许攻击者使用其他HTTP方法,如HEAD和PUT,来绕过整个安全约束。也许你应该删除web.xml中的<http- method>标签。

6. 敏感数据暴露

Java有大量的加密库,但它们不容易正确使用。你应该找到一个建立在JCE基础上的库,并且它能够方便、安全地提供有用的加密方法。比如 Jasypt和ESAPI就是这样的库。你应该使用强大的算法,如AES用于加密,以及SHA256用于hashes。但是要小心密码hashes,因为 它们可以利用Rainbow Table被解密,所以要使用自适应算法,如bcrypt或PBKDF2。

7. 缺少功能级访问控制

JavaEE支持声明式和程序式的访问控制,但很多应用程序仍然会选择创造它们自己的方案。像Spring框架也有基于注释的访问控制基元。最重要 的事情是要确保每一个暴露的端口都要有适当的访问控制检查,包括web服务。不要以为客户端可以控制任何东西,因为攻击者会直接访问你的端点。

8. 跨站点伪造请求(CSRF)

每个改变状态的端点需要验证请求有没有被伪造。开发人员应该在每个用户的会话中放入随机令牌,然后当请求到达的时候验证它。否则,攻击者就可以通过 链接到未受保护的应用程序的恶意IMG,SCRIPT, FRAME或FORM标签等创建“攻击”页面。当受害者浏览这种页面时,浏览器会生成一个“伪造”的HTTP请求到URL在标签中被指定的任何内容,并且 自动包括受害人的认证信息。

9. 使用带有已知漏洞的组件

现代的JavaEE应用程序有数百个库。依赖性解析工具,如Maven,导致了这个数字在过去五年时间里出现爆炸式增长。许多广泛使用的Java库 都有一些已知的漏洞,会让web应用程序被完全颠覆。解决的办法是及时更新库。不要只运行单一扫描,因为新的漏洞每天都在发布。

10. 未经验证的转址和转送

任何时候你的应用程序使用不可信的数据,例如request.getParameter()或request.getCookie(),在调用 response.sendRedirect()时,攻击者可以强制受害者的浏览器转到一个不受信任的网站,目的在于安装恶意软件。forward也存在 着类似的问题,不同之处在于攻击者可以转送他们自己到未经授权的功能,如管理页面。一定要仔细验证转址和转送目标。

你应该持续留意这些问题。新的攻击和漏洞总是在被发现。理想情况下,你可以集成安全检查到现有的构建、测试和部署过程。

要在应用程序中检查这些问题,可以尝试免费的Contrast for Eclipse插件 。这不是一个简单的静态分析工具。相反,C4E利用Java仪表化API,来监视应用程序中与安全相关的一切。 C4E甚至能实时地做到完整的数据流分析,因此它可以跟踪来自于请求的数据,通过一个复杂的应用程序。例如,假设你的代码获取了一个参数值,用 base64解码它,再存储于map中,把map放到数据bean中,再将bean存储到一个会话属性中,在JSP中获取bean的值,并使用EL将这个 值插入到网页。Contrast for Eclipse可以跟踪这些数据并报告XSS漏洞。哪怕你正在使用的是复杂的框架和库。没有其他工具能在速度,精度和易用性方面与之媲美。

你可以在Eclipse Marketplace找到Contrast for Eclipse。然后,只需转到服务器选项卡“Start with Contrast”——剩下的就交给它办吧。

作者:小峰来源:码农网
译文链接:http://www.codeceo.com/article/10-security-controls-in-javaee.html
英文原文:The 10 Most Important Security Controls Missing in JavaEE
分享到:
评论

相关推荐

    j2ee课件 JavaEE安全机制,主要讲解Java安全模型、基本、Java安全体系结构、扩展Java安全体系结构、J2EE安全策略

    JavaEE安全机制是Java平台企业版(Java Enterprise Edition)中至关重要的组成部分,它涉及到一系列确保应用程序安全性的技术、模型和策略。本讲主要探讨以下几个核心主题: 1. **Java安全模型**:Java的安全模型...

    javaee 中文语言包

    JavaEE中文语言包是专为Java企业版(Java Enterprise Edition,简称JavaEE)开发者设计的,旨在帮助那些希望在Eclipse集成开发环境中使用中文界面的用户。Eclipse是一款广泛使用的开源IDE,支持多种编程语言,其中...

    Javaee 中文开发文档

    在学习过程中,你可以通过《JavaEE中文开发文档》的CHM文件深入研究每一个主题,理解其概念、API用法以及实际应用案例。CHM文件是一种常见的帮助文档格式,其中包含了丰富的索引和搜索功能,方便快速查找所需信息。...

    JavaEE_6_中文API帮助文档

    这个"JavaEE_6_中文API帮助文档"是一个非常宝贵的资源,它提供了JavaEE 6中各种组件和技术的详细接口定义和使用指南。 API(Application Programming Interface)是软件开发者用来与系统或库进行交互的一系列预定义...

    JavaEE期末答辩总结.zip

    控制反转(IOC)是JavaEE项目中的一个重要概念,主要实现对象之间的依赖关系。当应用了IOC,一个对象依赖的其他对象会通过被动的方式传递进来,而不是这个对象自己创建或者查找依赖对象。 本资源摘要信息涵盖了...

    javaEE 中文API.chm

    API(Application Programming Interface)是软件开发中的一个重要概念,它定义了软件组件之间交互的接口和协议。JavaEE API包含了各种JavaEE规范和框架的核心类库,如Servlet、JSP、EJB(Enterprise JavaBeans)、...

    Mysql 和javaee 中文说明文档

    MySQL和JavaEE是两个在IT领域中至关重要的技术,它们分别代表了数据库管理和企业级应用程序开发的基石。这篇中文说明文档旨在帮助初学者和进阶者深入理解这两个领域的核心概念和实践技巧。 MySQL是一个广泛使用的...

    javaee中文API.zip

    以上只是部分JavaEE API中的重要组件和概念,实际的JavaEE中文API文档会包含更多详细信息,如每个接口和类的详细描述、方法签名、参数说明以及示例代码,帮助开发者更深入地理解和使用JavaEE。学习和查阅这些文档,...

    javaee中核心jar包

    在JavaEE中,核心的jar包扮演着至关重要的角色,它们包含了运行JavaEE应用程序所需的基础组件和服务。下面将详细阐述这些核心jar包的重要性及其包含的关键知识点: 1. **Servlet API**:Servlet是JavaEE中的基础...

    javaee中文文档

    这个中文文档包含了丰富的信息,旨在帮助开发者理解和掌握JavaEE的相关技术,同时通过中英文结合的方式,为学习者提供了双语对照的学习资源,有助于提升语言技能。 JavaEE的核心在于提供了一整套服务和组件模型,...

    javaee大作业实例

    这个"javaee大作业实例"显然包含了作者在学习或实践中制作的一个项目,旨在展示如何利用JavaEE技术来构建一个实际的应用。在这个作业中,我们可以预见到一系列的关键知识点和技能的运用。 1. **Servlet**:Servlet...

    JAVAEE中文版(最新)

    这些组件和服务涵盖了诸如Web服务、数据库连接、事务管理、安全控制、会话管理等多个方面。以下是一些关键的知识点: 1. **Servlet**:Servlet是JavaEE中的核心组件之一,它是一个Java类,用于扩展服务器的功能。...

    JavaEE期末复习模拟题

    JavaEE是Java企业版(Java Enterprise Edition)的简称,它是一个用于开发企业级应用程序的Java平台。这个平台包含了多个服务、APIs和协议,旨在帮助开发者构建可扩展、高性能、安全且可管理的网络应用程序。JavaEE...

    javaee网络工程期末大作业

    10. **项目结构与管理**:良好的项目组织和版本控制至关重要。学生应遵循Maven或Gradle的约定,创建清晰的目录结构,并使用Git进行版本控制。 通过这个JavaEE网络工程的期末大作业,学生将全面锻炼到从需求分析、...

    JAVAEE 5 中文文档内部版

    JAVAEE 5中文文档内部版提供了全面的Java企业级应用开发知识,涵盖了J2EE(Java 2 Platform, Enterprise Edition)向JAVAEE(Java Platform, Enterprise Edition)过渡时期的重要技术。此文档对于开发者来说是一份...

    javaEE7与javaSE6中文chm文档

    它提供了一系列API和服务,用于构建分布式、多层的企业系统,包括Web服务、事务处理、数据访问、并发控制等。相对的,Java SE 6(Java Standard Edition 6)则是Java的桌面和服务器端运行环境,提供了基础的Java编程...

Global site tag (gtag.js) - Google Analytics