JavaEE中10個(gè)重要的安全控制

JavaEE中10個(gè)重要的安全控制

　　JavaEE有一些超贊的內(nèi)置安全機(jī)制，但它們遠(yuǎn)遠(yuǎn)不能覆蓋應(yīng)用程序要面臨的所有威脅。很多常見(jiàn)攻擊，例如跨站點(diǎn)腳本攻擊(XSS)、SQL注入、 跨站點(diǎn)偽造請(qǐng)求(CSRF)，以及XML外部實(shí)體(XXE)絲毫沒(méi)有涵蓋。你可以阻止web應(yīng)用程序和web服務(wù)暴露于這些攻擊，但這需要一定量的工作和 測(cè)試。幸運(yùn)的是，Open Web Application Security Project(OWASP)公布了“10大最關(guān)鍵的web應(yīng)用程序安全風(fēng)險(xiǎn)”的報(bào)告。

　　1.注入

　　注入發(fā)生在開(kāi)發(fā)人員獲取不可信的信息，例如request.getParameter()，request.getCookie()，或 request.getHeader()，并在命令接口中使用它的任何時(shí)候。例如，SQL注入在你連接不可信的數(shù)據(jù)到常規(guī)SQL查詢，如“SELECT * FROM users WHERE username=‘“ + request.getParameter(“user”) + “‘ AND password=‘“ + request.getParameter(“pass”) = “‘“時(shí)發(fā)生。開(kāi)發(fā)人員應(yīng)該使用PreparedStatement來(lái)防止攻擊者改變查詢的含義和接管數(shù)據(jù)庫(kù)主機(jī)。還有許多其他類型的注入，如 Command注入、LDAP注入以及Expression Language (EL) 注入，所有這些都極度危險(xiǎn)，因此在發(fā)送數(shù)據(jù)到這些解釋器的時(shí)候要格外小心。

　　2.損壞的驗(yàn)證和會(huì)話管理

　　JavaEE支持身份驗(yàn)證和會(huì)話管理，但這里有很多容易出錯(cuò)的地方。你必須確保所有經(jīng)過(guò)驗(yàn)證流量都通過(guò)SSL，沒(méi)有例外。如果你曾經(jīng)暴露 JSESSIONID，那么它就可被用來(lái)在你不知情的情況下劫持用戶會(huì)話。你應(yīng)該旋轉(zhuǎn)JSESSIONID，在用戶進(jìn)行身份驗(yàn)證以防止會(huì)話固定攻擊 (Session Fixation attack)的時(shí)候。你應(yīng)該避免使用response.encodeURL()，因?yàn)樗鼤?huì)添加用戶的JSESSIONID到URL，使得更容易被披露或 被盜。

　　3.跨站點(diǎn)腳本攻擊(XSS)

　　XSS發(fā)生在當(dāng)JavaEE開(kāi)發(fā)人員從HTTP請(qǐng)求獲取不可信的信息，并把它放到HTTP響應(yīng)中，而沒(méi)有適當(dāng)?shù)纳舷挛妮敵鼍幋a的時(shí)候。攻擊者可以利 用這個(gè)行為將他們的腳本注入網(wǎng)站，然后在這個(gè)網(wǎng)站上劫持會(huì)話和竊取數(shù)據(jù)。為了防止這些攻擊，開(kāi)發(fā)人員需要執(zhí)行敏感的上下文輸出編碼。如果你把數(shù)據(jù)轉(zhuǎn)換成 HTML，使用&#xx;格式。請(qǐng)務(wù)必括號(hào)HTML屬性，因?yàn)橛泻芏嗖煌�字符而不帶括�?hào)的屬性會(huì)被終止。如果你把不可信的數(shù)據(jù)放到 JavaScript，URL或CSS中，那么對(duì)于每一個(gè)你都應(yīng)該使用相應(yīng)的轉(zhuǎn)義方法。并且在和嵌套上下文，如一個(gè)用Javascript寫(xiě)的在HTML 屬性中的URL打交道時(shí)，要非常小心。你可能會(huì)想要編碼庫(kù)，例如OWASP ESAPI的幫助。

　　4.不安全的直接對(duì)象引用

　　任何時(shí)候應(yīng)用程序暴露了一個(gè)內(nèi)部標(biāo)識(shí)符，例如數(shù)據(jù)庫(kù)密鑰，文件名，或hashmap索引，攻擊者就可以嘗試操縱這些標(biāo)識(shí)符來(lái)訪問(wèn)未經(jīng)授權(quán)的數(shù)據(jù)。例 如，如果你將來(lái)自于HTTP請(qǐng)求的不可信的數(shù)據(jù)傳遞到Java文件構(gòu)造器，攻擊者就可以利用“../”或空字節(jié)攻擊來(lái)欺騙你的驗(yàn)證。你應(yīng)該考慮對(duì)你的數(shù)據(jù) 使用間接引用，以防止這種類型的攻擊。ESAPI庫(kù)支持促進(jìn)這種間接引用的ReferenceMaps。

　　5.錯(cuò)誤的安全配置

　　現(xiàn)代的JavaEE應(yīng)用程序和框架，例如Struts和Spring中有著大量的安全設(shè)置。確定你已經(jīng)瀏覽過(guò)這些安全設(shè)置，并按你想要的.那樣設(shè)置。 例如，小心中的標(biāo)簽。這表明安全約束僅適用于列出的方 法，允許攻擊者使用其他HTTP方法，如HEAD和PUT，來(lái)繞過(guò)整個(gè)安全約束。也許你應(yīng)該刪除web.xml中的標(biāo)簽。

　　6.敏感數(shù)據(jù)暴露

　　Java有大量的加密庫(kù)，但它們不容易正確使用。你應(yīng)該找到一個(gè)建立在JCE基礎(chǔ)上的庫(kù)，并且它能夠方便、安全地提供有用的加密方法。比如 Jasypt和ESAPI就是這樣的庫(kù)。你應(yīng)該使用強(qiáng)大的算法，如AES用于加密，以及SHA256用于hashes。但是要小心密碼hashes，因?yàn)?它們可以利用Rainbow Table被解密，所以要使用自適應(yīng)算法，如bcrypt或PBKDF2。

　　7.缺少功能級(jí)訪問(wèn)控制

　　JavaEE支持聲明式和程序式的訪問(wèn)控制，但很多應(yīng)用程序仍然會(huì)選擇創(chuàng)造它們自己的方案。像Spring框架也有基于注釋的訪問(wèn)控制基元。最重要 的事情是要確保每一個(gè)暴露的端口都要有適當(dāng)?shù)脑L問(wèn)控制檢查，包括web服務(wù)。不要以為客戶端可以控制任何東西，因?yàn)楣�擊者�?huì)直接訪問(wèn)你的端點(diǎn)。

　　8.跨站點(diǎn)偽造請(qǐng)求(CSRF)

　　每個(gè)改變狀態(tài)的端點(diǎn)需要驗(yàn)證請(qǐng)求有沒(méi)有被偽造。開(kāi)發(fā)人員應(yīng)該在每個(gè)用戶的會(huì)話中放入隨機(jī)令牌，然后當(dāng)請(qǐng)求到達(dá)的時(shí)候驗(yàn)證它。否則，攻擊者就可以通過(guò) 鏈接到未受保護(hù)的應(yīng)用程序的惡意IMG，SCRIPT, FRAME或FORM標(biāo)簽等創(chuàng)建“攻擊”頁(yè)面。當(dāng)受害者瀏覽這種頁(yè)面時(shí)，瀏覽器會(huì)生成一個(gè)“偽造”的HTTP請(qǐng)求到URL在標(biāo)簽中被指定的任何內(nèi)容，并且 自動(dòng)包括受害人的認(rèn)證信息。

　　9.使用帶有已知漏洞的組件

　　現(xiàn)代的JavaEE應(yīng)用程序有數(shù)百個(gè)庫(kù)。依賴性解析工具，如Maven，導(dǎo)致了這個(gè)數(shù)字在過(guò)去五年時(shí)間里出現(xiàn)爆炸式增長(zhǎng)。許多廣泛使用的Java庫(kù) 都有一些已知的漏洞，會(huì)讓web應(yīng)用程序被完全顛覆。解決的辦法是及時(shí)更新庫(kù)。不要只運(yùn)行單一掃描，因?yàn)樾碌穆┒疵刻於荚诎l(fā)布。

　　10.未經(jīng)驗(yàn)證的轉(zhuǎn)址和轉(zhuǎn)送

　　任何時(shí)候你的應(yīng)用程序使用不可信的數(shù)據(jù)，例如request.getParameter()或request.getCookie()，在調(diào)用 response.sendRedirect()時(shí)，攻擊者可以強(qiáng)制受害者的瀏覽器轉(zhuǎn)到一個(gè)不受信任的網(wǎng)站，目的在于安裝惡意軟件。forward也存在 著類似的問(wèn)題，不同之處在于攻擊者可以轉(zhuǎn)送他們自己到未經(jīng)授權(quán)的功能，如管理頁(yè)面。一定要仔細(xì)驗(yàn)證轉(zhuǎn)址和轉(zhuǎn)送目標(biāo)。

　　你應(yīng)該持續(xù)留意這些問(wèn)題。新的攻擊和漏洞總是在被發(fā)現(xiàn)。理想情況下，你可以集成安全檢查到現(xiàn)有的構(gòu)建、測(cè)試和部署過(guò)程。

　　要在應(yīng)用程序中檢查這些問(wèn)題，可以嘗試免費(fèi)的Contrast for Eclipse插件 。這不是一個(gè)簡(jiǎn)單的靜態(tài)分析工具。相反，C4E利用Java儀表化API，來(lái)監(jiān)視應(yīng)用程序中與安全相關(guān)的一切。 C4E甚至能實(shí)時(shí)地做到完整的數(shù)據(jù)流分析，因此它可以跟蹤來(lái)自于請(qǐng)求的數(shù)據(jù)，通過(guò)一個(gè)復(fù)雜的應(yīng)用程序。例如，假設(shè)你的代碼獲取了一個(gè)參數(shù)值，用 base64解碼它，再存儲(chǔ)于map中，把map放到數(shù)據(jù)bean中，再將bean存儲(chǔ)到一個(gè)會(huì)話屬性中，在JSP中獲取bean的值，并使用EL將這個(gè) 值插入到網(wǎng)頁(yè)。Contrast for Eclipse可以跟蹤這些數(shù)據(jù)并報(bào)告XSS漏洞。哪怕你正在使用的是復(fù)雜的框架和庫(kù)。沒(méi)有其他工具能在速度，精度和易用性方面與之媲美。

　　你可以在Eclipse Marketplace找到Contrast for Eclipse。然后，只需轉(zhuǎn)到服務(wù)器選項(xiàng)卡“Start with Contrast”——剩下的就交給它辦吧。

【JavaEE中10個(gè)重要的安全控制】相關(guān)文章：

關(guān)于JavaEE中10個(gè)安全控制10-02

javaEE里有哪些模式10-31

成本控制,意識(shí)比方法重要10-16

我的JavaEE學(xué)習(xí)路線圖10-01

班組長(zhǎng)在安全管理中的重要性08-02

通俗唱法中聲帶的控制08-14

績(jī)效管理中的重要思想10-24

工程質(zhì)量控制重要性的范文05-27

數(shù)控機(jī)床電氣控制中控制電器的選用11-04