Java web应用中的安全问题整理

已于 2024-03-04 17:24:25 修改
阅读量4.6k 收藏 17
点赞数 2
分类专栏: 产品安全与加固 文章标签: 安全 java web
于 2017-09-10 09:19:13 首次发布
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/wojiushiwo945you/article/details/77920165
版权

背景

几年前在CSDN的C币商城换购过一本《白帽子讲Web安全》,了解过Web网站在渗透测试过程中常见的安全问题。近来,自己开发的Java Web应用中存在一些安全漏洞,被迫要求关注这些安全隐患、并加固。

那么本文就顺便整理一下Java Web开发过程中容易忽略的几个安全问题吧,这些问题都能搜到,并且加固方式也不复杂。初学者或者对安全要求不高的开发流程中,很可能被忽略。

密码明文传输

当年初学Java Web时,简单的信息管理系统中,根本没有安全意识。仅仅靠表单的password类型掩盖了密码的表面形象而已。

但是,在实际应用中,这是个大问题,最初也知道这个问题,只是鉴于应用用户较少,而且只能处于内网环境中,就直接忽略了。但是表单中明文传送密码,的确不应该。最简单的方式是密码通过js加密传递到后台,然后Controller校验时直接取数据库中的密文进行匹配。

用户名被猜中

这个问题可能出现在密码校验逻辑中:校验结果的不同分支,返回给页面提示信息不同,密码错误和用户名不存在是两个不同分支中的。这样依一来,居心叵测者就可能通过多次输入并提交而猜中系统中可能存在的用户名。

这一点,Linux用户,Oracle用户,数据表的校验,处理都很高明,能预防敏感信息泄漏。(这点没有考证,初入职场时的入职培训老师讲过这些,印象较深刻,整理本文时就想起这几方面了。如有错误,欢迎指正!)

1 Linux的登录错误提示信息是统一的:用户名或密码错误!
2 文件目录一旦输入错误:统一提示文件或目录不存在的。
3 Oracle数据库查询操作查询时,如果表名称错误,提示信息是表不存在。
###文件上传
文件上传最好使用专门的文件服务器,与当前web应用隔离开。如果条件不允许,应该用独于Web应用部署目录之外的目录,这样攻击者就不能通过web服务器内部的目录结构获取用户上传的文件信息了。

其次,对上传的文件的校验,处理页面空间的限制外,后台Controller也许要对对文件进行校验,比如文件名或这文件内容。因为攻击者发送的请求不是通过页面完成的,而是模拟表单请求的话,文件名称就可以是任意的。

所以,后台也应该对用户请求中的上传文件名称进行校验,保证只有系统允许的文件内容才能被处理。

文件下载

凡是涉及到文件下载的地方,应该提高安全意识,编码过程中,校验下载文件名称。应用下载文件的根目录应该是固定的,而且文件名称只能是最终名称,不能包含路径“.”的。

http://xxx/xxxx/download?fileName=./…/…/./…/…/./…/…/./…/…/./…/…/./…/…//etc/passwd

如果一个文件下载请求中,直接使用用户请求的fileName参数,而不经过任何安全校验的话,那么不法分子就可能通过上述模拟请求下载到Linux服务器的密码文件。

加固措施为:校验文件名称参数,不能是包含路径的文件名称,只能是简单名称或者路径固定,即项目指定存放下载文件的路径。

表单输入校验

不能对用户的输入过于信任,所有的需要用户输入的地方,应该添加验证。例如:用户可以在一个input表单中输入js代码:

<script>   alert(new Date());
</script>

这就是典型的CRSF,跨站请求伪造;此外,如果一个input输入框里面,用户输入了html标签

</button>

而后台又没有进行任何拦截处理,那么该表单数据回显的时候,页面就会多一个button按钮了。

解决办法:可以在前端统一对页面的input进行限制不能输入html标签;然后在Controller层使用Filter,对用户输入的请求头域的数据进行预处理,拦截或者过滤输入信息中的有害数据。

重要模块的CRSF

在任何一个登录后的页面上,进入一个敏感数据添加页面如:用户添加页面。输入表单信息之后,将页面源码扒下来,存储htm文件,点击htm文件的表单提交,就可以通过CRSF表单提交数据到指定服务器。

敏感信息的所有操作应该添加token信息,这点我想起了微信工作平台开发API中,所有的操作都是需要Token信息的,那么这里Token的作用应该是一样的,防止攻击者伪造表单请求。

服务器版本信息泄漏

下图404页面,开发过程中经常见到,但是它会对Web应用造成什么威胁呢?

这里写图片描述

显然,它泄漏Web应用服务器的信息。攻击者在知道应用的服务器信息后,就可能利用对应版本的服务器的漏洞,发起进一步攻击行为。

这个问题主要是web应用的404、500等常见错误页面信息的配置不当导致的。增强安全意识,应该避免使用服务器默认的错误页面信息,在web.xml中增加自定义的错误页面配置信息。

启示录

安全是一件大事,如果一点都没有注意的话,我们的Java Web应用是不是分分钟就能被攻击者黑掉呢?
想起以前遇到过iteye这个网站被黑掉添加很多垃圾信息的情况.
树立安全意识,Too simple ! Too dangerous!

毕小宝
关注
  • 2
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
f前台form表单密码md5加密
08-10
导入js到项目,然后调用$.md5($("#password").val())即可对密码进行加密传输
java安全权限配置_JavaWeb应用配置文件安全解决方案
weixin_39890814的博客
02-24 233
这里主要说说JavaWeb应用的配置文件安全,通常JavaWeb应用多多少少会有一些配置文件,其数据源的配置则是关系到数据库的安全,另外还有一些基于文件的权限配置,应用程序的一些系统参数。鉴于这样的情况,如果配置文件被非法访问者拿到,这对于应用安全和数据安全产生极大的危害。常见的一种情况就是:非法用户通过一些漏洞扫描工具,探测应用的漏洞,然后上传脚本,遍历应用的文件目录结构来获取更多有利于攻克...
常见六大WEB安全问题
最新发布
m0_60469045的博客
03-20 1031
六大WEB安全问题
Java安全机制
FromZeroJiYuan的博客
11-26 3522
文章目录启动安全策略使用java.security.AccessController#doPrivileged(java.security.PrivilegedAction) 启动 默认情况下,Java安全模型是不启用的。为了使用Java安全模型,需要通过初始化安全管理器(SecurityManager)来启用Java安全模型。 编码式初始化SecurityManager // 获取安全管理器,如果安全管理器未安装,则返回null SecurityManager manager = System.g
深入理解Java虚拟机读书笔记之:第3章 安全(3)
二进制之路
04-06 266
策略     Java安全体系结构的真正好处在于,它可以对代码授予不同层次的信任度来部分地访问系统。     Microsoft提供了ActiveX控件认证技术,它和Java的认证技术相类似,但是ActiveX控件并不在沙箱运行。这样,使用了ActiveX,一系列移动代码要么是被完全信任的,要么是完全不被信任的。     版本1.2的安全体系结构的主要目标之一就是使建立(以签名代码为基...
java安全策略
haibinCastle inner peace
09-25 1133
众所周知,Java语言具有完善的安全框架,从编程语言,编译器、解释程序到Java虚拟机,都能确保Java系统不被无效的代码或敌对的编译器暗破坏,基本上,它们保证了Java代码按预定的规则运作。但是,当我们需要逾越这些限制时,例如,读写文件,监听和读写Socket,退出Java系统等,就必须使用数字签名或安全策略文件(*.Policy)。
详解Java项目安全方向解决方案
左安青的博客
05-23 2100
Java项目开发安全方向主要包括以下几个方面:认证、授权、加密、防火墙、日志管理、漏洞扫描和安全审计等。下面我分别对这几个方面进行详解,并提供解决方案来确保Java项目的安全
JavaEE(二)---Web 应用程序安全问题及基本安全实施策略
普通人遵守规则,牛人无视规则,伟人创造规则.无视规则之前要了解规则!
03-09 1434
注:本文是答9.web安全问题的考虑,如何防止 的,仅为了自己学习,向原博主致敬。 原博文网址:http://www.cnblogs.com/sunniest/p/4646515.html 一、运行时Web应用程序安全问题: 在开发应用程序时,必须处理一组安全问题。 另一组安全问题则与应用程序在部署和运行时的安全性有关。 按照其定义,Web应用程序允许用户访
web安全加固
weixin_53690010的博客
06-01 876
一.Blog项目部署 在进行实训6web安全加固的任务,需要布置blog项目,主要用到的软件有:myeclipse,sqlserver。首先打开sqlserver服务器,然后连接数据库,将已有的db_mediaBlog附加到数据库,在此过程之前要先将两个db文件作出如下操作:右键属性~安全~Administrators~编辑~将安全控制设置为允许。下图的两个文件 打开myeclipse,将blog项目导入。导入后文件会报错:1.在properties修改为UTF-82.在DB.java将密码进行修
Java WEB安全问题及解决方案
天书夜读
11-09 2108
1.弱口令漏洞 解决方案:最好使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码,应存储MD5加密后的密文,由于目前普通的MD5加密已经可以被破解,最好可以多重MD5加密。 2.未使用用户名及密码登录后台可直接输入后台URL登录系统。 解决方案:通过配置filter来过滤掉无效用户的连接请求。 3.JSP页面抛出的异常可能暴露程序信息。有经验的入侵者,可以从JSP程序的
Java反序列化漏洞从入门到深入(转载)
07-21 968
前言 学习本系列文章需要的Java基础: 了解Java基础语法及结构(菜鸟教程) 了解Java面向对象编程思想(快速理解请上知乎读故事,深入钻研建议买本《疯狂Java讲义》另外有一个刘意老师的教学视频也可以了解一下,其关于面向对象思想的介绍比较详细。链接:https://pan.baidu.com/s/1kUGb3D1#list/path=%2F&pare...
Java+Web之高级应用源码整理
08-23
Java+Web之高级应用源码整理
java_web开发笔记整理.pdf
11-22
Java Web,是用Java技术来解决相关web互联网...Java在客户端的应用Java Applet,不过使用得很少,Java在服务器端的应用非常的丰富,比如Servlet,JSP、第三方框架等等。Java技术对Web领域的发展注入了强大的动力。
Tomcat之web应用的目录组成结构_动力节点Java学院整理
01-11
什么是web应用的组成结构?简单的说就是如何存放网站的各个文件。 开发web应用时,不同类型的文件有严格的存放规则, 文件放错位置时可能会使web应用无法访问,也可能导致web服务器启动报错。 web应用组织形式: 1...
Java-Web:整理一套java web知识体系,从java入门到框架应用
05-14
发简历找工作的时候,面试官回了一句话: nosql,redis,主从复制,集群,哨兵,redis的rdb和aof,以及集群增加删除主从节点都会吗。我对于redis的认识仅限于缓存的使用上,其他的什么都不清楚。于是我对redis进行...
Java+Web之高级应用Java实用源码整理learns
08-25
Java+Web之高级应用Java实用源码整理learns
Java——安全机制详解
吴声子夜歌的博客
11-15 846
ClassLoader超类的loadClass方法用于将类的加载操作委托给其父类加载器去进行,只有当该类尚未加载并且父类加载器也无法加载该类时,才调用findClass方法。为来自本地文件系统或者其他来源的类加载其字节码。调用ClassLoader超类的defineClass方法,向虚拟机提供字节码。return age;super();while (-1!
基于JAVA的两个通用安全模块的设计与实现
m0_56073435的博客
04-21 108
摘 要本文详细介绍了基于口令的身份认证与文件安全传输两个通用安全模块的设计原理和实现过程,分析了当前口令保存的安全性,提出了运用MD5算法等对口令进行处理,并将处理结果保存在数据库的方法。同时为了进一步增强认证系统的灵活度,设计了用户注册时的口令模式选择、自主修改用户口令、自主选择口令字符串长度等策略。在本文设计的认证过程,用户输入认证口令信息,作必要的处理之后,会与数据库里的用户真实信息进行对比来验证用户的合法性,合法用户登录成功后可以访问文件安全传输模块;而文件安全传输模块的设计,是应用SSL协议
java 安全策略,编程式安全策略配置
weixin_39627697的博客
03-20 260
编程式安全策略配置本章定义的注解和API提供用于配置 Servlet 容器强制的安全约束。@ServletSecurity 注解@ServletSecurity 提供了用于定义访问控制约束的另一种机制,相当于那些通过在便携式部署描述符声明式或通过 ServletRegistration 接口的 setServletSecurity 方法编程式表示。Servlet 容器必须支持在实现 javax....
java后端常用技术整理
05-31
Java后端开发常用的技术主要包括: 1. Spring框架:Spring是一个轻量级的开源Java框架,它提供了一系列方便的功能,如IoC容器、AOP、事务管理、MVC等。 2. Spring Boot框架:Spring Boot是基于Spring框架的快速开发框架,它可以让开发者更快地搭建Java Web应用。 3. MyBatis框架:MyBatis是一款优秀的持久层框架,它可以将Java对象和关系型数据库的数据进行映射,简化了Java应用的数据库操作。 4. Hibernate框架:Hibernate是一款ORM框架,它可以将Java对象和关系型数据库的数据进行映射,也可以自动生成数据表结构。 5. Spring Data框架:Spring Data是一个用于简化数据访问层的框架,它提供了统一的API,可以轻松地访问各种数据存储技术。 6. Redis缓存:Redis是一款高性能的缓存数据库,它可以将数据存储在内存,提高了数据的访问速度。 7. MySQL数据库:MySQL是一款流行的关系型数据库,它支持多种数据类型和查询语句,广泛应用Java Web开发。 8. Tomcat服务器:Tomcat是一款流行的Java Web服务器,可以将Java应用部署到服务器上,并提供Web服务。 9. Nginx服务器:Nginx是一款高性能的Web服务器和反向代理服务器,可以提高Web应用的并发处理能力。 10. Maven构建工具:Maven是一款流行的Java项目管理工具,可以自动化构建、测试和部署Java应用

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值