十个安全控制（2）

忻峰作浪

6.敏感数据暴露

  Java开发有大量的加密库，但它们不容易正确使用。你应该找到一个建立在JCE基础上的库，并且它能够方便、安全地提供有用的加密方法。比如Jasypt和ESAPI就是这样的库。你应该使用强大的算法，如AES用于加密，以及SHA256用于hashes。但是要小心密码hashes，因为它们可以利用RainbowTable被解密，所以要使用自适应算法，如bcrypt或PBKDF2。

  7.缺少功能级访问控制

  JavaEE支持声明式和程序式的访问控制，但很多应用程序仍然会选择创造它们自己的方案。像Spring框架也有基于注释的访问控制基元。最重要的事情是要确保每一个暴露的端口都要有适当的访问控制检查，包括web服务。不要以为客户端可以控制任何东西，因为攻击者会直接访问你的端点。

  8.跨站点伪造请求（CSRF）

  每个改变状态的端点需要验证请求有没有被伪造。开发人员应该在每个用户的会话中放入随机令牌，然后当请求到达的时候验证它。否则，攻击者就可以通过链接到未受保护的应用程序的恶意IMG，SCRIPT,FRAME或FORM标签等创建“攻击”页面。当受害者浏览这种页面时，浏览器会生成一个“伪造”的HTTP请求到URL在标签中被指定的任何内容，并且自动包括受害人的认证信息。

  9.使用带有已知漏洞的组件

  现代的JavaEE应用程序有数百个库。依赖性解析工具，如Maven，导致了这个数字在过去五年时间里出现爆炸式增长。许多广泛使用的Java库都有一些已知的漏洞，会让web应用程序被完全颠覆。解决的办法是及时更新库。不要只运行单一扫描，因为新的漏洞每天都在发布。

  10.未经验证的转址和转送

  任何时候你的应用程序使用不可信的数据，例如request.getParameter（）或request.getCookie（），在调用response.sendRedirect（）时，攻击者可以强制受害者的浏览器转到一个不受信任的网站，目的在于安装恶意软件。forward也存在着类似的问题，不同之处在于攻击者可以转送他们自己到未经授权的功能，如管理页面。一定要仔细验证转址和转送目标。

  你应该持续留意这些问题。新的攻击和漏洞总是在被发现。理想情况下，你可以集成安全检查到现有的构建、测试和部署过程。

  要在应用程序中检查这些问题，可以尝试免费的Contrastfor Eclipse插件。这不是一个简单的静态分析工具。相反，C4E利用Java仪表化API，来监视应用程序中与安全相关的一切。C4E甚至能实时地做到完整的数据流分析，因此它可以跟踪来自于请求的数据，通过一个复杂的应用程序。例如，假设你的代码获取了一个参数值，用base64解码它，再存储于map中，把map放到数据bean中，再将bean存储到一个会话属性中，在JSP中获取bean的值，并使用EL将这个值插入到网页。Contrastfor Eclipse可以跟踪这些数据并报告XSS漏洞。哪怕你正在使用的是复杂的框架和库。没有其他工具能在速度，精度和易用性方面与之媲美。

  你可以在EclipseMarketplace找到ContrastforEclipse。然后，只需转到服务器选项卡“StartwithContrast”——剩下的就交给它办吧。

  

bud407

感谢楼主的精彩分享。。。