Day2_J2EE安全开发学习课件.pptxVIP

J2EE安全开发

杭州安恒信息技术有限公司

;;一、开发中常见漏洞介绍及示例说明和可参考的解决方法：

Web通用：

XSS、CSRF、SQL注入、文件上传等

J2EE特点所致:

组件信息泄露、安全目录绕过等

;4;注入的Javascript脚本被解析执行，形成一个反射型XSS：

;

危害：

对于一般应用，用户cookie盗取（普通用户及管理员登录cookie）非法登录应用。

;例如：tomcat与浏览器身份验证的sessionid是已cookie的形式存储浏览器客户

端

;对于大量用户交互的大型应用（如：SNS站点），可形成蠕虫，严重影响业务，如:

1、历史第一个XSS蠕虫是针对网站MySpace的Samy(20小时内感染了100万个账户)

2、Sina微博XSS蠕虫攻击事件的HelloSamy(16分钟受影响用户就达到将近33000个)

;Java开发中，可参考的解决方法示例：

针对“输入”与“输出”方式，如

输入：Stringinput=request.getParameter(“input”);

输出：out.print(我的输入：+input);

对Input参数的Html标签进行转义

一般的业务逻辑代码流程：输入?数据存储（如：存入DB）?输出

存储型XSS，如：存入DB,同一应用一般情况，危害性存储型大于反射型XSS.

特点：隐蔽性强，数据的流向不确定（如：数据可能被其他应用调用）等

;一般选择“输入”处理方式，伪代码：

输入：Stringinput=request.getParameter(“input”);

//对html标签转义的逻辑代码

//其他业务逻辑（如：数据存储）

输出：out.print(我的输入：+input);

;参数值转义html标签的伪代码示例：

publicstaticStringfilter(Stringstr){

if(str==null)

return(null);

charcontent[]=newchar[str.length()];

str.getChars(0,str.length(),content,0);

StringBuilderresult=newStringBuilder(content.length+50);

for(inti=0;icontent.length;i++){

switch(content[i]){

case:result.append(lt;);break;

case:result.append(gt;);break;

case:result.append(amp;);break;

case:result.append(quot;);break;

default:result.append(content[i]);

}

}

return(result.toString());

};14;

但可能有些标签在实际开发需要显示输出（如：img标签），影响到正常业务。就可以使用HTTPOnly方式防御，jsp显示模版示例伪代码：

response.setHeader(“Set-Cookie”,“cookiename=value;Path=/;Domain=domainvalue;Max-、Age=seconds;HTTPOnly);

设置HTTPOnly后，js域就无法获取cookie了，缓解危害！

;16;17;18;19;20;

只要管理员访问下面的url，就可以创建一个管理员:

http://localhost:8080/CSRF/user.ah?logo=createuser_name=csrfpassWord=csrfage=12birthday=1970-01-01note=test

攻击者：想办法让管理员访问这个地址

imgsrc=攻击地址

例如，使用htmli