Struts2框架安全缺陷..doc

Struts2框架安全缺陷[转贴] 收藏 本文介绍了java开发流行框架struts2以及webwork的一些安全缺陷，并举例说明框架本身以及开发人员使用框架时，所产生的种种安全问 题，以及作者挖掘框架安全漏洞的一些心得体会。 推荐以下人群阅读 了解java开发了解框架开发了解web application安全“网络安全爱好者” 正文 当前java开发网站，通常不会是纯JSP的，大都使用了java framework。 有了这些framework，让开发人员更加快速的开发出代码，也让代码非常具有可扩展性，那些分层架构的思想，更是深入人心。这些也大大影响了安 全代码审核，曾提出“分层审核代码”的思想，比如在DAO层专门检查sql注入，在view层检查xss等。这些框架都有自己的层级，本次文章主要讲的是 struts这个框架的相关安全问题，也会有小部分涉及到struts后面的DAO层。 而struts这个框架更新占有市场份额极大的一个框架，它在各个层级中，位于如图所示位置： 可以看到struts在web应用中，负责处理接收用户数据，调用业务处理，以及展示数据的工作。所以本文把struts的功能分为 controller层和view层，controller层来完成接收用户数据，分发用户请求，而view专门用于展示数据。 一个单独的struts，是不合逻辑的，因为架构师通常喜欢多种框架集合，让它们各自负责某一层的处理。研究一个框架的安全问题，不能仅仅站在框架 的角度，还应该充分考虑到开发人员是如何使用这些框架的，他们最喜欢写什么样的代码，这样才能还原一个正常的、完整的web应用场景。 从有哪些信誉好的足球投注网站结果看，互联网中，绝大多数教程推荐struts+hibernate+spring这样的黄金组合，那么，我假设有一个应用使用了这个组 合，以struts为重点，站在攻击者的角度，层层分析struts的设计缺陷。 Struts2开发回顾与简单学习 为了让大家回顾或者学习一下struts2，我们一起来建立一个action、jsp页面，做一个接收用户输入，之后处理一下，再展示出来给用户的 过程，精通struts2的同学可以跳过此步。 struts回顾start首先建立action，叫做AaaaAction： public class AaaaAction extends ActionSupport{ private String name; public String getName() { return name; } public void setName(String name) { = name; } public String execute(){ System.out.println(exe); return SUCCESS; } public String bbb(){ System.out.println(bbbbb); return SUCCESS; }} 请注意execute这个方法，让用户输入action的地址后，默认会访问这个方法。 之后配置struts.xml文件 action name=aaaaaaa result name=successuser/aaa.jsp/result/action 配置这个文件后，当用户输入 /app/aaaaaaa.action 的时候，struts会负责让AaaaAction中的execute方法处理用户请求。 处理之后，该方法返回“return SUCCESS;”，struts又负责找到result的name是seccuess所指向的jsp页面。把该页面解析后，返回给用户。 而用户看到的就是aaa.jsp页面的html代码。 struts2继承了webwork的所有优点，其实等于是webwork的升级，如果开发人员想让用户直接访问action中的某方法，而不是访 问默认的execute方法，只要定义一个方法叫做bbb，并且是public的，用户就可以直接输入 /app/aaaaaaa!bbb.action 直接访问了bbb方法。 那request中的参数如果接收呢？struts2中，这个过程被包装了起来，使用非常方便，只要在action中定义一个属性，叫做 public String name；。然后加入getName和setName方法，就可以像正常使用属性一样，接收到用户传递过来的变量。无论是get请求还是post请求，都 可以使用这种方式接收用户输入。 整个过程就如此简单，现在大家对流程