查看: 754|回复: 1

[推荐] Java培训—JavaEE中遗漏的10个最重要的安全控制

[复制链接]

54

主题

79

帖子

735

积分

Kib

Rank: 3Rank: 3

贡献
0
技术
0
活跃
20
在线时间
10 小时
发表于 2016-11-18 11:26:30 | 显示全部楼层 |阅读模式
  ——动力节点java
  JavaEE有一些超赞的内置安全机制,但它们远远不能覆盖应用程序要面临的所有威胁。很多常见的攻击,例如跨站点脚本攻击(XSS)、SQL注入、跨站点伪造请求(CSRF),以及XML外部实体(XXE)丝毫没有涵盖。你可以阻止web应用程序和web服务暴露于这些攻击,但这需要一定量的工作和测试。幸运的是,(OWASP)公布了“10大最关键的web应用程序安全风险”的报告。
  听动力节点Java讲师讲讲这些关键的风险如何应用于JavaEEweb应用程序和web服务:
  1.注入
  注入发生在开发人员获取不可信的信息,例如request.getParameter(),request.getCookie(),或request.getHeader(),并在命令接口中使用它的任何时候。例如,SQL注入在你连接不可信的数据到常规SQL查询,如“SELECT*FROMusersWHEREusername=‘“+request.getParameter(user)+“‘ANDpassword=‘“+request.getParameter(pass)=“‘“时发生。开发人员应该使用PreparedStatement来防止攻击者改变查询的含义和接管数据库主机。还有许多其他类型的注入,如Command注入、LDAP注入以及ExpressionLanguage(EL)注入,所有这些都极度危险,因此在发送数据到这些解释器的时候要格外小心。
  2.损坏的验证和会话管理
  JavaEE支持身份验证和会话管理,但这里有很多容易出错的地方。你必须确保所有经过验证流量都通过SSL,没有例外。如果你曾经暴露JSESSIONID,那么它就可被用来在你不知情的情况下劫持用户会话。你应该旋转JSESSIONID,在用户进行身份验证以防止会话固定攻击(SessionFixationattack)的时候。你应该避免使用response.encodeURL(),因为它会添加用户的JSESSIONIDURL,使得更容易被披露或被盗。
  3.跨站点脚本攻击(XSS
  XSS发生在当JavaEE开发人员从HTTP请求获取不可信的信息,并把它放到HTTP响应中,而没有适当的上下文输出编码的时候。攻击者可以利用这个行为将他们的脚本注入网站,然后在这个网站上劫持会话和窃取数据。为了防止这些攻击,开发人员需要执行敏感的上下文输出编码。如果你把数据转换成HTML,使用&#xx;格式。请务必括号HTML属性,因为有很多不同字符而不带括号的属性会被终止。如果你把不可信的数据放到JavaScriptURLCSS中,那么对于每一个你都应该使用相应的转义方法。并且在和嵌套上下文,如一个用Javascript写的在HTML属性中的URL打交道时,要非常小心。你可能会想要编码库,例如OWASPESAPI的帮助。
  4.不安全的直接对象引用
  任何时候应用程序暴露了一个内部标识符,例如数据库密钥,文件名,或hashmap索引,攻击者就可以尝试操纵这些标识符来访问未经授权的数据。例如,如果你将来自于HTTP请求的不可信的数据传递到Java文件构造器,攻击者就可以利用“../”或空字节攻击来欺骗你的验证。你应该考虑对你的数据使用间接引用,以防止这种类型的攻击。ESAPI库支持促进这种间接引用的ReferenceMaps
  5.错误的安全配置
  现代的JavaEE应用程序和框架,例如StrutsSpring中有着大量的安全设置。确定你已经浏览过这些安全设置,并按你想要的那样设置。例如,小心<security-constraint>中的<http-method>标签。这表明安全约束仅适用于列出的方法,允许攻击者使用其他HTTP方法,如HEADPUT,来绕过整个安全约束。也许你应该删除web.xml中的<http-method>标签。
  

1

主题

504

帖子

3505

积分

论坛贵宾VIP-永久权限

Rank: 8Rank: 8

贡献
0
技术
0
活跃
610
在线时间
68 小时
发表于 2017-5-12 22:06:31 | 显示全部楼层
这个有资源吗
使用 高级模式(可批量传图、插入视频等)
您需要登录后才可以回帖 登录 | 立即注册

快速回复 返回顶部 返回列表