2. 程式人生 > >Java web應用中的安全問題整理

Java web應用中的安全問題整理

阿新 發佈:2019-01-09

背景

幾年前在CSDN的C幣商城換購過一本《白帽子講Web安全》,瞭解過Web網站在滲透測試過程中常見的安全問題。近來,自己開發的Java Web應用中存在一些安全漏洞,被迫要求關注這些安全隱患、並加固。

那麼本文就順便整理一下Java Web開發過程中容易忽略的幾個安全問題吧,這些問題都能搜到,並且加固方式也不復雜。初學者或者對安全要求不高的開發流程中,很可能被忽略。

密碼明文傳輸

當年初學Java Web時,簡單的資訊管理系統中,根本沒有安全意識。僅僅靠表單的password型別掩蓋了密碼的表面形象而已。

但是,在實際應用中,這是個大問題,最初也知道這個問題,只是鑑於應用使用者較少,而且只能處於內網環境中,就直接忽略了。但是表單中明文傳送密碼,的確不應該。最簡單的方式是密碼通過js加密傳遞到後臺,然後Controller校驗時直接取資料庫中的密文進行匹配。

使用者名稱被猜中

這個問題可能出現在密碼校驗邏輯中:校驗結果的不同分支,返回給頁面提示資訊不同,密碼錯誤和使用者名稱不存在是兩個不同分支中的。這樣依一來,居心叵測者就可能通過多次輸入並提交而猜中系統中可能存在的使用者名稱。

這一點,Linux使用者,Oracle使用者,資料表的校驗,處理都很高明,能預防敏感資訊洩漏。(這點沒有考證,初入職場時的入職培訓老師講過這些,印象較深刻,整理本文時就想起這幾方面了。如有錯誤,歡迎指正!)

1 Linux的登入錯誤提示資訊是統一的:使用者名稱或密碼錯誤!
2 檔案目錄一旦輸入錯誤:統一提示檔案或目錄不存在的。
3 Oracle資料庫查詢操作查詢時,如果表名稱錯誤,提示資訊是表不存在。

檔案上傳

檔案上傳最好使用專門的檔案伺服器,與當前web應用隔離開。如果條件不允許,應該用獨於Web應用部署目錄之外的目錄,這樣攻擊者就不能通過web伺服器內部的目錄結構獲取使用者上傳的檔案資訊了。

其次,對上傳的檔案的校驗,處理頁面空間的限制外,後臺Controller也許要對對檔案進行校驗,比如檔名或這檔案內容。因為攻擊者傳送的請求不是通過頁面完成的,而是模擬表單請求的話,檔名稱就可以是任意的。

所以,後臺也應該對使用者請求中的上傳檔名稱進行校驗,保證只有系統允許的檔案內容才能被處理。

檔案下載

凡是涉及到檔案下載的地方,應該提高安全意識,編碼過程中,校驗下載檔名稱。應用下載檔案的根目錄應該是固定的,而且檔名稱只能是最終名稱,不能包含路徑“.”的。

如果一個檔案下載請求中,直接使用使用者請求的fileName引數,而不經過任何安全校驗的話,那麼不法分子就可能通過上述模擬請求下載到Linux伺服器的密碼檔案。

加固措施為:校驗檔名稱引數,不能是包含路徑的檔名稱,只能是簡單名稱或者路徑固定,即專案指定存放下載檔案的路徑。

表單輸入校驗

不能對使用者的輸入過於信任,所有的需要使用者輸入的地方,應該新增驗證。例如:使用者可以在一個input表單中輸入js程式碼:

<script>   alert(new Date());
</script>

這就是典型的CRSF,跨站請求偽造;此外,如果一個input輸入框裡面,使用者輸入了html標籤

</button>

而後臺又沒有進行任何攔截處理,那麼該表單資料回顯的時候,頁面就會多一個button按鈕了。

解決辦法:可以在前端統一對頁面的input進行限制不能輸入html標籤;然後在Controller層使用Filter,對使用者輸入的請求頭域的資料進行預處理,攔截或者過濾輸入資訊中的有害資料。

重要模組的CRSF

在任何一個登入後的頁面上,進入一個敏感資料新增頁面如:使用者新增頁面。輸入表單資訊之後,將頁面原始碼扒下來,儲存htm檔案,點選htm檔案的表單提交,就可以通過CRSF表單提交資料到指定伺服器。

敏感資訊的所有操作應該新增token資訊,這點我想起了微信工作平臺開發API中,所有的操作都是需要Token資訊的,那麼這裡Token的作用應該是一樣的,防止攻擊者偽造表單請求。

伺服器版本資訊洩漏

下圖404頁面,開發過程中經常見到,但是它會對Web應用造成什麼威脅呢?

這裡寫圖片描述

顯然,它洩漏Web應用伺服器的資訊。攻擊者在知道應用的伺服器資訊後,就可能利用對應版本的伺服器的漏洞,發起進一步攻擊行為。

這個問題主要是web應用的404、500等常見錯誤頁面資訊的配置不當導致的。增強安全意識,應該避免使用伺服器預設的錯誤頁面資訊,在web.xml中增加自定義的錯誤頁面配置資訊。

    <!-- 配置系統錯誤顯示的頁面 -->
    <error-page>
        <error-code>500</error-code>
        <location>/error/500.html</location>
    </error-page>
    <error-page>
        <error-code>404</error-code>
        <location>/error/404.html</location>
    </error-page>

啟示錄

安全是一件大事,如果一點都沒有注意的話,我們的Java Web應用是不是分分鐘就能被攻擊者黑掉呢?
想起以前遇到過iteye這個網站被黑掉新增很多垃圾資訊的情況.
樹立安全意識,Too simple ! Too dangerous!

相關推薦

Java web應用安全問題整理

背景 幾年前在CSDN的C幣商城換購過一本《白帽子講Web安全》,瞭解過Web網站在滲透測試過程中常見的安全問題。近來,自己開發的Java Web應用中存在一些安全漏洞,被迫要求關注這些安全隱患、並加固。 那麼本文就順便整理一下Java Web開發過程中容易

Java Web應用支持跨域請求

通過 sca info def gist time 並且 tomcat json 轉載:https://blog.csdn.net/lmy86263/article/details/51724221 由於工程合作開發的需要,後臺的應用要能支持跨域訪問,但是在這個跨域

Java web應用如何判斷Web容器型別

問題背景:最近在開發一個人行的專案,由於不同的商行所使用的WEB容器不一樣,導致同樣的程式碼在不同的容器中執行的效果不一樣。因此想在程式碼中新增容器判斷,從而讓應用自動選擇不同的實現。 問題描述:開發階段使用的是jetty6,商行使用的應用伺服器有tomcat7、websp

Java Web應用調優執行緒池的重要性

來源:http://www.infoq.com/cn/articles/the-importance-of-thread-pool-in-java-web-application 不論你是否關注,Java Web應用都或多或少的使用了執行緒池來處理請求。執行緒池的實現

MVC模式在Java Web應用程序的實例分析

rip run writer fault esp 身份驗證 int 網站 table 結合六個基本質量屬性 可用性: 異常 可修改性: 1.維持語義的一致性,高內聚低耦合 2.維持現有的接口,Login依賴LoginIService接口,LoginService依賴ILog

MVC模式在Java Web應用程序的實例

simple handler hand resolv let handle 增加 獨立 efault 1.可用性 使用SimpleMappingExceptionResolver實現異常處理 只需要在Spring的配置文件applicationContext.xml中增加

Java-Servlet--《12-WEB應用的普通Java程序如何讀取資源文件.mp4》 有疑問

疑問 文件 什麽 get java程序 blog java rop col \第五天-servlet開發和ServletConfig與ServletContext對象\12-WEB應用中的普通Java程序如何讀取資源文件.mp4; 多層時,DAO為了得到資源文件中的配置

如何把 Java Web 應用放在 docker 容器執行

本文適合 docker 零基礎,且希望使用 docker 執行 Java Web 應用的人士。因為是傻瓜教程,這裡沒有使用 docker 的高階功能,本教程旨在用最簡單方法實現目標。 安裝 docker Docker 的安裝資原始檔存放在Amazon,由於國內特殊的網路環境,安裝時,會間歇

JavaMail java郵件開發_在Web應用增加郵件傳送功能

建立一個web專案 在lib下新增兩個jar包,mail.jar和之前寫的JavaMail02.jar SendMailServlet: package com.yuming.servlet; import java.io.IOException; import javax.se

【譯】用maven使java web應用執行在內嵌的Jetty或Tomcat容器

更多0 開發java web應用時,能在“真實”的環境中有快速的反饋是非常實用的。本文將探尋如何使用maven使java web應用執行在內嵌的Jetty或Tomcat容器中。我將展示如何配置他們來開發Podcastpedia.org網站的工程podcastpedia。

Java Web開發Spring+MyBatis框架的簡單搭建

jar包 簡單的 .class pre web項目 指定 clip 開發 location 這裏使用的eclipse,首先創建一個動態web項目。 1、導入Spring IOC、AOP、DAO、dbcp、dbdrive、mybatis.jar 、 mybatis-s

Java Web程序使用監聽器可以通過以下兩種方法

output pla extend 標識 ade 介紹 gets str override 之前學習了很多涉及servlet的內容,本小結我們說一下監聽器,說起監聽器,編過桌面程序和手機App的都不陌生,常見的套路都是拖一個控件,然後給它綁定一個監聽器,即可以對該對象的事件

阿裏雲CentOS7.3配置Java Web應用和Tomcat步驟

tail linux .com 一點 doc document centos7.3 cat java web 阿裏雲的Linux系統包括CentOS7.3配置了密鑰對 怎樣將自己ECS實例綁定密鑰對,並啟用秘鑰: https://help.aliyun.com/docume

web應用的異常處理

異常類 row server ade actor pack exc request ext 樓主前幾天寫了一篇“Java子線程中的異常處理(通用)”文章,介紹了在多線程環境下3種通用的異常處理方法。 但是平時大家的工作一般是基於開發框架進行的(比如

Java Web應用集成OSGI

att servlet 不可見 logo install 服務器 system cati 所在 對OSGI的簡單理解 就像Java Web應用程序需要運行在Tomcat、Weblogic這樣的容器中一樣。程序員開發的OSGI程序包也需要運行在OSGI容器中。目前主流的OS

WebSphere配置的數據源在Web應用引用的寫法

padding websphere 技術分享 org info href adding title framework WebSphere中配置的數據源在Web應用中引用時名稱一定要和數據源的JNDI名稱保持一致,否則會出現無法找到數據源的錯誤。 引用WAS的數據源時只需要

Java web 開發幾個高可復用的類

eas rop prop type stat edi ror exc clu 1. JsonUtil   通過 jackson包提供的方法 實現一個字符串轉對象,對象轉字符串的類,使用場景,redis實現單點登陸 package com.mmall.util; im

Java Web Project實現Vue異步組件加載

ati 解析器 webapp ast 文件 要求 dir win sha 背景 最近看上了ElementUI(Vue實現)用來實現一個管理系統Demo,其中一個最常見的需求就是左側導航不動,右側主頁塊在點擊導航菜單時動態更新,如下圖所示:之前的實現方案是右邊嵌入一個ifra

JAVA web專案的no result defined for action xxxAction and result input 錯誤

No result defined for action and result input 產生這個錯誤的原因:Action中的屬性值為空的時候,Struts2的預設攔截器會報錯,但是又找不到input的Result,不能夠把錯誤返回,所以報這種錯誤。 從上面可知,能夠導致 No r

基於SSM的Java Web應用開發原理初探

SSM開發Web的框架已經很成熟了,成熟得以至於有點落後了。雖然如今是SOA架構大行其道,微服務鋪天蓋地的時代,不過因為仍有大量的企業開發依賴於SSM,本文簡單對基於SSM的Java開發做一快速入門,方便讀者儘快把握脈絡,理解Java Web開發的主軸,便於做進一步深入學習。 關於第一代MVC開發可見:Ja