2. 程式人生 > >Java Web:主動和被動方式檢測安全的框架

Java Web:主動和被動方式檢測安全的框架

阿新 發佈:2018-01-18
一個 mapping web 安全 xls .config 負責 per .net bsp

對於某些敏感的系統例如支付、交易需要為其加固,有必要將可能的攻擊情況考慮進來加以防範,於是有了這麽一個簡易的安全框架。在前輩的代碼上( 詳見 :http://blog.csdn.net/zhongweijian/article/details/8680737)我大幅度重構,更好地理解 Java Web 安全實施措施。

源代碼在:http://git.oschina.net/sp42/ajaxjs/tree/master/ajaxjs-security?dir=1&filepath=ajaxjs-security

該框架基於 Sevlet 過濾器和若幹 HttpServletRequest/HttpServletResponse 覆蓋的方式增加一些輸入輸出的過濾。如下表格顯示了可支持的哪些攻擊。

作用對應類名加載方式init-param
XSS過濾 com.ajaxjs.web.security.wrapper.XSS_Request/XSS_Response wrapper enableXSSFilter
Header CLRF 過濾 com.ajaxjs.web.security.wrapper.CLRF_Response wrapper enableCLRF_Filter
Cookies Key 驗證和大小驗證 com.ajaxjs.web.security.wrapper.CookieRequest/CookieResponse wrapper cookieWhiteList(配置白名單)
文件上傳後綴驗證 com.ajaxjs.web.security.wrapper.UploadRequest wrapper uploadfileWhiteList(配置白名單)
CSRF 攻擊 com.ajaxjs.web.security.filter.CSRF filter encryCookieKey(配置 key)
Session 通過加密存儲到 cookie com.ajaxjs.web.security.filter.EncrySessionInCookie filter encryCookieKey(配置 key)
POST 白名單/黑名單機制驗證 com.ajaxjs.web.security.filter.Post filter postWhiteList/postBlackList(配置白名單/黑名單)
Referer 來路檢測 com.ajaxjs.web.security.filter.RefererFilter filter RefererFilter(配置 key)

所有檢測都由 ConfigLoader 負責讀取配置和啟動。是否啟動某項功能取決於配置有否,只要有配了的話,該功能點就生效,反之則不啟用。如表格上的 init-param 對應的是 web.xml 裏面配置的內容。

加載方式指的是在 filter 中主動檢測,一般是執行 check() 方法,傳入 request/response 即可;而 wrapper 是指被動方式檢測、過濾,具體說是對 Java API 方式覆蓋來包含檢測手段,類似於設計模式的 Template 模版方法,使得調用者在不改變 API 的前提下又能加入新的邏輯。特別地可以了解下 HttpServletRequestWrapper/HttpServletResponseWrapper 這兩個原生 API。

使用方法:引入 jar 包並添加 web.xml 配置。

[html] view plain copy print?
  1. <!-- 防禦 -->
  2. <filter>
  3. <filter-name>SecurityFilter</filter-name>
  4. <filter-class>com.ajaxjs.web.security.ConfigLoader</filter-class>
  6. <!-- 是否啟動 XSS 過濾 -->
  7. <init-param>
  8. <param-name>enableXSSFilter</param-name>
  9. <param-value>true</param-value>
  10. </init-param>
  12. <!-- 是否啟動 CLRF 過濾 -->
  13. <init-param>
  14. <param-name>enableCLRF_Filter</param-name>
  15. <param-value>true</param-value>
  16. </init-param>
  18. <!-- Session 通過加密存儲到 cookie -->
  19. <init-param>
  20. <param-name>encryCookieKey</param-name>
  21. <param-value>1234567887654321</param-value>
  22. </init-param>
  24. <!-- Cookies 白名單機制驗證和大小驗證 -->
  25. <init-param>
  26. <param-name>cookieWhiteList</param-name>
  27. <param-value>id,JESSIONID,name,clrf</param-value>
  28. </init-param>
  30. <!-- 文件上傳後綴白名單 過濾 -->
  31. <init-param>
  32. <param-name>uploadfileWhiteList</param-name>
  33. <param-value>jpg,png,doc,xls</param-value>
  34. </init-param>
  36. <!-- CSRF 攻擊 過濾 -->
  37. <init-param>
  38. <param-name>CSRF_Filter</param-name>
  39. <param-value>true</param-value>
  40. </init-param>
  42. <!-- POST 白名單/黑名單機制驗證(支持正則匹配) -->
  43. <init-param>
  44. <param-name>postWhiteList</param-name>
  45. <param-value>/d/sssecurity, /user/aaa/name*</param-value>
  46. </init-param>
  47. <init-param>
  48. <param-name>postBlackList</param-name>
  49. <param-value>true</param-value>
  50. </init-param>
  52. <!-- 配置 Security 異常發生後跳轉 url 參數 -->
  53. <init-param>
  54. <param-name>redirectUrlt</param-name>
  55. <param-value>http://localhost:8080/[0-9A-Za-z]*,http://www.taobao.com/[0-9A-Za-z]*</param-value>
  56. </init-param>
  57. </filter>
  59. <filter-mapping>
  60. <filter-name>SecurityFilter</filter-name>
  61. <url-pattern>/*</url-pattern>
  62. </filter-mapping>
  63. <!-- // --> 
<!-- 防禦 -->
<filter>
	<filter-name>SecurityFilter</filter-name>
	<filter-class>com.ajaxjs.web.security.ConfigLoader</filter-class>
	
	<!-- 是否啟動 XSS 過濾 -->
	<init-param>
		<param-name>enableXSSFilter</param-name>
		<param-value>true</param-value>
	</init-param>
	
	<!-- 是否啟動 CLRF 過濾 -->
	<init-param>
		<param-name>enableCLRF_Filter</param-name>
		<param-value>true</param-value>
	</init-param>
	
	<!-- Session 通過加密存儲到 cookie -->
	<init-param>
		<param-name>encryCookieKey</param-name>
		<param-value>1234567887654321</param-value>
	</init-param>
	
	<!-- Cookies 白名單機制驗證和大小驗證 -->
	<init-param>
		<param-name>cookieWhiteList</param-name>
		<param-value>id,JESSIONID,name,clrf</param-value>
	</init-param>
	
	<!-- 文件上傳後綴白名單 過濾 -->
	<init-param>
		<param-name>uploadfileWhiteList</param-name>
		<param-value>jpg,png,doc,xls</param-value>
	</init-param>

	<!-- CSRF 攻擊 過濾 -->
	<init-param>
		<param-name>CSRF_Filter</param-name>
		<param-value>true</param-value>
	</init-param>

	<!-- POST 白名單/黑名單機制驗證(支持正則匹配) -->
	<init-param>
		<param-name>postWhiteList</param-name>
		<param-value>/d/sssecurity, /user/aaa/name*</param-value>
	</init-param>
	<init-param>
		<param-name>postBlackList</param-name>
		<param-value>true</param-value>
	</init-param>
	
	<!-- 配置 Security 異常發生後跳轉 url 參數 -->
	<init-param>
		<param-name>redirectUrlt</param-name>
		<param-value>http://localhost:8080/[0-9A-Za-z]*,http://www.taobao.com/[0-9A-Za-z]*</param-value>
	</init-param>
</filter>

<filter-mapping>
	<filter-name>SecurityFilter</filter-name>
	<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- // -->

具體防禦原理可參見我之前寫的博客《 網絡信息系統安全檢測方案設計(上、下)》。

值得註意的是本方案沒有考慮 SQL 註入,這是因為 SQL 註入在 DAO 層面已經完成了。

Java Web:主動和被動方式檢測安全的框架

相關推薦

Java Web主動被動方式檢測安全框架

一個 mapping web 安全 xls .config 負責 per .net bsp 對於某些敏感的系統例如支付、交易需要為其加固,有必要將可能的攻擊情況考慮進來加以防範,於是有了這麽一個簡易的安全框架。在前輩的代碼上( 詳見 :http://blog.csdn.ne

Java web的三種打包方式jar、war、ear

  以最終客戶的角度來看,JAR檔案就是一種封裝,他們不需要知道jar檔案中有多少個.class檔案,每個檔案中的功能與作用,同樣可以得到他們希望的結果。除jar以外對於J2EE來說還有war和ear。區別見下表: JAR WAR EAR 英文 Java Ar

SQL Server統計信息問題解決方式

二次 就會 數據庫引擎 目的 獲得 差異 product primary tex 在網上看到一篇介紹使用統計信息出現的問題已經解決方式,感覺寫的很全面。在自己看的過程中順便做了翻譯。因為本人英文水平有限,可能中間有一些錯誤。假設有哪裏有問題歡迎大家批評指正。建議英文

linux監控平臺搭建(2)主動被動模式、添加監控主機、添加自定義模板、處理圖形亂碼、自動發現

添加監控主機 主動和被動模式 添加主機添加主機:1.添加主機群組:2.添加主機:點擊主機-->創建主機(1)應用集:是監控項的集合(如:cpu的集合,內存的集合)(2)監控項:監控的項目(cpu,內存)(3)觸發器:對監控項設定的告警規則,和告警級別。(4)圖形

java web 基礎 json javaBean轉化

bubuko AI this set 實體 .json setname 自動 AS github地址: https://github.com/liufeiSAP/JavaWebStudy 實體類: package com.study.demo.domain; imp

Http (java)的postget方式

inf log href www param client get char comm 用java發送post和get請求的兩種方式 1.URL 2.httpclient 第一種方式: URL形式發送請求 第二種方式: commons-httpclient-3.1.jar;

java Web釋出的兩種方式

一種是直接呼叫API: Endpoint.publish("http://192.168.14.117:8888/java6ws/Java6WS", new Java6WS()); Endpoint.publish是一個後臺執行緒,一旦釋出了就會一直等待處理Web服務的請求,只有當mai

JAVA關鍵字staticfinal

一、static  1. static變數     按照是否靜態的對類成員變數進行分類可分兩種:一種是被static修飾的變數,叫靜態變數或類變數;另一種是沒有被static修飾的變數,叫例項變數。兩者的區別是: 

Java新手異常遞迴

異常 異常是指我們在寫程式碼時出現的編譯或者執行時的錯誤。 異常的體系結構: 1、Throwable是Java語言中所有錯誤或異常的超類,Throwable有兩個子類,Error和Exception,Error是指出現的不能夠處理的嚴重問題,Exception是樂意處理的異常

Java Web中getAttributegetParameter的區別

1.getAttribute是取得jsp中 用setAttribute設定的attribute  2.parameter得到的是string;attribute得到的是object  3.request.getParameter()方法傳遞的資料,會從Web客戶端傳到Web伺服器

Java筆記物件

Java類和物件 類是在程式設計中經過編寫的,擁有成員變數和一些方法的一種資料型別,可以由自己通過聯絡現實中的事物進行編寫,關鍵字是class,一個Java原始檔只能含有一個public類,且該類名稱與檔名相同。類是對現實中具體事物的一種表示,並且需藉由類建立

java web過濾器

過濾器 1. 概念 Filter  過濾器 可以對請求(響應)進行過濾 請求 --> 過濾器1 --> 過濾器2 --> .... --> 過濾器n --> 目的地(Servlet, jsp) 2. 編寫過濾器的步驟 1. 實現

Java IO1IOFile

IO       大多數的應用程式都要與外部裝置進行資料交換,最常見的外部裝置包含磁碟和網路。IO就是指應用程式對這些裝置的資料輸入與輸出,Java語言定義了許多類專門負責各種方式的輸入、輸出,這些類都被放在java.io包中。 File類        File類是I

Java技巧集合陣列的轉換

由於Java平臺API的很大一部分都是在集合框架建立之前設計的,因此有時候需要在傳統的陣列和現代的集合之間進行轉換。 如果你有一個數組,就需要將它轉化為一個集合,Array.asList包裝器能夠實現這個目的,例如: String[] values = ...; HashSe

Java IOBIONIO區別及各自應用場景

引言BIO和NIO是兩種不同的網路通訊模型,現如今NIO已經大量應用在Jetty、ZooKeeper、Netty等開源框架中。一個面向流、一個面向緩衝區一個是阻塞式的、一個非阻塞一個沒有io多路複用器、一個有下面通過一個例子解釋兩者區別:假設當前服務端程式需要同時從與多個客戶

Java WebJSON 作為配置檔案,簡單讀寫的方法

讀取配置檔案 先大概說一說思路。首先配置檔案以 *.json 格式儲存在服務端磁碟上。要讀取改配置檔案的話,通過 java.io.File 包讀取磁碟內容,然後形成介面,作為響應內容返回到客戶。既然 Web 瀏覽器天然支援 JSON,這讀取一過程我們藉助 <script

Java 併發Executors 執行緒池

讓我們開始來從入門瞭解一下 Java 的併發程式設計。 本文主要介紹如何開始建立執行緒以及管理執行緒池,在 Java 語言中,一個最簡單的執行緒如下程式碼所示: Runnable runnable = new Runnable(){ public v

java web中表單提交的方式

      在java web中表單提交的幾種方法,本人才學疏淺,望大神幫我補充,       第一種也是最簡單的方法就是在form 標籤中加上一個action,action對應的就是你要將表單提交的地址,其中按扭為submit,例如:<form action="se

java web中jspaction之間通訊小結

jsp和action之間通訊 *傳值****************************************** ?a=<s:property value="#allrole.roleid" />a<s:property value="#allrole.role

JAVA WEB專案後臺介面總結

1.建立java web專案 2.共建立四部分專案:facade,post,service,web 3.facade專案中放 model和service放一起 4.web專案中放控制層controller和webApp(介面,css,js) 5.service專案中放core