• web安全——应用(java)


    简介

    由于网络技术日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对web应用的攻击。据最新调查,信息安全有75%都发生在web应用而非网络层面。

    场景

    1. 控制访问的权限。只让可以访问的访问到最小的资源和权限。
    2. 控制输入内容。所有输入都可能是不安全的,所以要过滤。
    3. 保证业务的安全。
    4. 保证数据的安全性。
    5. 控制输出内容。要过滤输出的内容,解决浏览器安全问题。

    解决问题

    输入和输出的很多问题,都可以通过Aop的思想来统一解决。尽量让应用的问题都通过架构去实现,以避免因为开发人员因素,而且对正常业务是透明、不可见的。
    人为的因素,需要有代码评审流程,甚至需要安全的软件构建流程去规避。

    应用安全

    1. 千万不要用root!!!启动程序。
    2. 运行的用户不允许对源代码有修改的权限。
    3. 需要有新文件生成的目录(比如文件上传,动态代理等),不能有执行的权限。
    4. 不允许用户访问目录。基于tomcat来说,把所有的视图文件(jsp、ftl等)放到WEB-INF下。webapp下不直接放任何文件。

    控制输入内容

    用户所有的输入,都可以认为是不安全的。千!万!不!要!以为用户的输入是合法的。要采取防御式的方式去处理应用。确保应用的安全。一般我们提倡的是:防御式架构和防御式编程。

    控制http参数

    1. 千万不要乱用数据类型。使用基本数据类型,少用包装类。包装类容易被攻击。不要用String去接受所有类型数据。原则上:是什么类型就用什么类型去接收。
    2. 通过架构设计,添加一层设置处理http参数(验证数据的类型、合法性、长度和范围)。一般都是通过aop来实现。比如:对邮件、手机的验证,对非法数字(小于0)的验证,对整数最大值的验证,对字符串最大长度的验证等。

    文件上传

    1. 控制文件类型,通过后缀控制。上传文件的后缀要使用白名单,不要使用黑名单。只允许我们知道的文件类型上传。这样能确保安全性。
    2. 控制文件的大小。文件大小必须控制,否则容易出现系统硬盘资源被吃满。
    3. 上传的文件要压缩。这样就算里面有攻击的代码也会被破坏掉。
    4. 上传的文件名要随机、而且没有规律。可以考虑uuid。否则容易被猜测,然后把文件拖走。

    sql注入

    1. 通过框架的参数化去解决。
    2. 要有严格的规范以及日常的代码评审。人为的因素,往往是很多安全问题的罪魁祸首。
    3. 要严格规划应用对数据库操作的用户。只允许有查看和修改数据的权限。就算是出了安全问题,也能把问题减少到最低,比如:至少避免被攻击者直接drop database.

    html注入

    通过架构的方法,净化。实现思路aop。
    在http到执行方法前,把标签净化掉。如果确实有需要富文本的地方,一定也要使用白名单的方式,只允许少数合法标签,其他的也全部净化。
    java有一个开发框架是:Anti-Samy,或者自己通过正则来实现。

    数据敏感词

    通过架构的方法,分词、词库去解决。实现思路aop。
    可以根据敏感的程序来判断处理机制。
    如果程度一般,则可以通过**来替换。
    如果程度太高,涉及黄或者国家安全等,则可以拒绝输入。

    保证业务的安全

    每一个业务都要考虑是不安全的。然后都应该有对应的处理机制。

    防止暴力破解

    暴力破解是一种非常容易被忽视的安全问题。
    这种问题的解决思路:

    1. 提升密码复杂度。太简单的密码要拒绝。
    2. 记录验证频率。超过这个频率就拒绝。

    比如:登录,短信验证码,支付密码等用户核心安全业务。

    不安全的直接对象引用

    不安全的直接对象引用 ,即访问不属于自己的业务。
    在业务设计的时候要明确哪些是允许其他用户访问的,其他的都不允许访问。还是根据最小原则来处理。
    比如:不访问访问别人的订单信息。

    不要信任用户输入的数据

    重要的信息,千万不能通过让用户传输过来。千万不能自认为这些用户不会输入啊,都是我们设置好的。
    比如:订单的金额,是否有操作的权限等。

    严格的权限控制

    1. 水平权限控制。用户是否有操作业务的操作。比如,用户对应的角色和身份不允许访问指定的业务。
    2. 垂直权限控制。用户是否按指定的业务流程操作。比如,在一些流程过程中需要先有合同才能进货,在一些流程中需要先填写个人信息才能使用后面的功能。

    保证数据的安全

    互联网的时代,数据也是极为重要的资源。

    不可以预见性

    对于重要资源,要随机性,要不然容易被测试到规则,全部拖走。
    比如用户外页信息 /home/x.html。这里的x用的是数字。

    控制资源访问的频率

    比如,只允许同一个ip访问100次每天。这个规则,可以根据产品或者运营来共同制定。实现思路:通过aop

    记录数据操作记录

    重要的信息操作的时候,要有记录。实现思路:通过aop。

    控制输出内容

    输出的内容确保是干净的,对用户不会有危险的。同时也不会泄露服务器的信息。

    过滤敏感信息

    1. 把代码的注释去除。通过aop实现。
    2. 拒绝服务器相关的信息,比如ip。这个需要在代码评审的时候核实。不能有任何硬编码泄露服务器信息的地方。
    3. 异常不要说的太明确。每个异常都是要处理的。如果不清楚的异常,提示模糊信息即可,然后把明确的信息记录到日志。 通过aop实现

    验证方法

    1. 通过ibm appscan工具验证。能解决常见的安全问题
    2. 目录遍历。御剑。
    3. web后台暴力破解。httprint。

    更牛B的解决方案

    云WAF发展的新道路。感兴趣的看参考资料。感觉棒棒哒,果断还是验证了那句经典的话重复就会被解决

    参考资料

    1. Web应用安全——攻防对抗发展趋势
    2. Web应用安全
    3. web应用系统安全开发规范
    4. 常见web应用安全问题
  • 相关阅读:
    自定义主键自增规则 Oracle Mssql(全库唯一标识)
    SQL Server 字符串 参数详解
    js 实现类似C# 委托的那种效果
    网页页面“返回到顶部”
    js substr与substring的区别
    js 格式化时间/Date(1425027069000)/格式化为yyyy-MM-dd HH:mm:ss
    js 设置一个按周期向服务器发送请求 推荐是用 setTimeOut函数
    jquery 几个常用的选择器
    Oracle
    小议出参入参
  • 原文地址:https://www.cnblogs.com/ansn001/p/5649301.html
Copyright © 2020-2023  润新知