Java-Java开发中的安全编码问题⽬录
1 - 输⼊校验
编码原则:针对各种语⾔本⾝的保留字符,做到 数据与代码相分离 。
1.1 SQL 注⼊防范
严重性⾼,可能性低。
(1) 参数校验,拦截⾮法参数(推荐⽩名单):
public String sanitizeUser(String username) {
return Pattern.matches("[A-Za-z0-9_]+", username)
username : "unauthorized user";
}
(2) 使⽤预编译:
String sql = "UPDATE EMPLOYEES SET SALARY = ? WHERE ID = ?";
PreparedStatement statement = conn.prepareStatement(sql);
statement.setBigDecimal(1, 285500.00);
statement.setInt(2, 30015800);
1.2 XSS防范
严重性中,可能性⾼。防范⽅法有:
(1) 输⼊输出校验(推荐⽩名单);
(2) org.apachemons.lang ⼯具包处理;
(3) 富⽂本可⽤ owasp antisamp 或 java html sanitizer 处理;
(4) ESAPI 处理:
// HTML 实体
// HTML 属性
// JavaScript
// CSS
// URL
1.3 代码注⼊/命令执⾏防范
java修改html文件严重性⾼,可能性低。
(1) 参数校验,拦截⾮法参数(推荐⽩名单);
(2) 不直接执⾏⽤户传⼊参数:
if("open".Parameter("choice"))) {
}
(3) 及时更新升级第三⽅组件:
⽐如Struts、Spring、ImageMagick等。
1.4 ⽇志伪造防范
严重性低,可能性⾼。
(1) 不要log⽤户可控的信息;
(2) 输⼊参数校验(推荐⽩名单):
/
/ 处理回车、换⾏符
Pattern p = Patternpile("%0a|%0d0a|\n|\r\n");
Matcher m = p.matcher(data);
dest = m.replaceAll("");
(3) 使⽤ Log4j2。
1.5 XML 外部实体攻击
严重性中,可能性中。
(1) 关闭内联 DTD 解析,使⽤⽩名单来控制允许使⽤的协议;
(2) 禁⽤外部实体:
DocumentBuilderFactory factory = wInstance(); factory.setExpandEntityReferences(false);
(3) 过滤⽤户提交的 XML 数据:
⽐如 !DOCTYPE 、 <!ENTITY 、 SYSTEM 、 PUBLIC 等。
1.6 XML 注⼊防范
严重性中,可能性低。
(1) 教研⽤户输⼊(推荐⽩名单):
OutputFormat format = atePrettyPrint();
(2) 使⽤安全的 XML 库(⽐如 dom4j)。
1.7 URL 重定向防范
严重性中,可能性低。
(1) 设置严格⽩名单⼏⽹络边界:
String url = Parameter("url");
String host = getHostFromUrl(url);
if(!validateHost(host)) {
return;
}
(2) 加⼊有效性验证的 Token;
(3) referer 适⽤于检测监控 URL 重定向、CSRF 等,多数场景下也可⽤作防范措施。
2 - 异常处理
编码原则:不要泄露详细异常信息。
2.1 敏感信息泄露防范
严重性低,可能性中。
屏蔽敏感信息⽰例:
catch(IOException e) {
System.out.println("Invalid file");
// System.out.println("Error code: 0001");
return;
}
2.2 保持对象⼀致性
严重性中,可能性低。
(1) 重排逻辑,使得产⽣异常的代码在改变对象状态的代码之前执⾏;
catch(Exception e) {
// revert
money -= PADDING;
return -1;
}
(2) 在出现异常导致操作失败的情况下,使⽤事务回滚机制;
(3) 在对象的临时拷贝上执⾏操作,成功后再提交给正式的对象;
(4) 回避修改对象的需求,尽量不去修改对象。
3 - I/O 操作
编码规则:可写的⽂件不可执⾏,可执⾏的⽂件不可写。
3.1 资源释放
严重性低,可能性⾼。
Java 垃圾回收器回⾃动释放内存资源,⾮内存资源需要开发⼈员⼿动释放,⽐如DataBase,Files,Sockets,Streams,Synchronization 等资源的释放。
try {
Connection conn = getConnection();
Statement statement = ateStatement();
ResultSet resultSet = uteQuery(sqlQuery);
processResults(resultSet);
} catch(SQLException e) {
// forward to handler
} finally {
if (null != conn) {
conn.close();
}
}
3.2 清除临时⽂件
严重性中,可能性中。
(1) ⾃动清除:
File tempFile = ateTempFile("tempname", ".tmp");
try {
BufferedWriter writer = Path(),
StandardCharsets.UTF_8, StandardOpenOption.DELETE_ON_CLOSE)
// operate the file
} catch (IOException e) {
e.printStackTrace();
}
(2) ⼿动清除。
3.3 避免将 bufer 暴露给不可信代码
严重性中,可能性中。
wrap、duplicate 创建的 buffer 应该以只读或拷贝的⽅式返回:
Charbuffer buffer;
public Duplicator() {
buffer = CharBuffer.allocate(10);
}
/** 获取只读的 Buffer */
public CharBuffer getBufferCopy() {
return buffer.asReadOnlyBuffer();
}
3.4 任意⽂件下载/路径遍历防范
严重性中,可能性⾼。
(1) 校验⽤户可控的参数(推荐⽩名单);
(2) ⽂件路径保存到数据库,让⽤户提交⽂件对应的 ID 去下载⽂件:
<%
String filePath = Parameter("id"));
download(filePath);
%>
(3) 判断⽬录和⽂件名:
if(!"/somedir/".equals(filePath) || !"jpg".equals(fileType)) {
.
..
return -1;
}
(4) 下载⽂件前做权限判断。
补充:禁⽌将敏感⽂件(如⽇志⽂件、配置⽂件、数据库⽂件等)存放在 web 内容⽬录下。
3.5 ⾮法⽂件上传防范
严重性⾼,可能性中。
在服务器端⽤⽩名单⽅式过滤⽂件类型,使⽤随机数改写⽂件名和⽂件路径。
if(!ESAPI.validator().isValidFileName(
"upload", filename, allowedExtensions, false)) {
throw new ValidationUploadException("upload error");
}
补充:如果使⽤第三⽅编辑器,请及时更新版本。
4 - 序列化/反序列化操作
编码原则:不信任原则。
4.1 敏感数据禁⽌序列化
严重性⾼,可能性低。
使⽤ transient 、 serialPersistentFields 标注敏感数据:
private static final ObjectStreamField[] serialPersistentFields = {
new ObjectStreamField("name", String.class),
new ObjectStreamField("age", Integer.TYPE)
}
当然,正确加密的敏感数据可以序列化。
4.2 正确使⽤安全管理器
严重性⾼,可能性低。
如果⼀个类的构造⽅法中含有各种安全管理器的检查,在反序列化时也要进⾏检查:
private void writeObject(ObjectOutputStream out) throws IOException {
performSecurityManagerChek();
out.writeObject(xxx);
}
补充:第三⽅组件造成的反序列化漏洞可通过更新升级组件解决;
禁⽌ JVM 执⾏外部命令,可减⼩序列化漏洞造成的危害。
5 - 运⾏环境
编码原则:攻击⾯最⼩化原则。
5.1 不要禁⽤字节码验证
严重性中,可能性低。
启⽤ Java 字节码验证: Java -Xverify:all ApplicationName
5.2 不要远程调试/监控⽣产环境的应⽤
严重性⾼,可能性低。
(1) ⽣产环境中安装默认的安全管理器,并且不要使⽤ -agentlib , -Xrunjdwp 和 -Xdebug 命令⾏参数:${JAVA_HOME}/bin/java -Djava.security.manager ApplicationName
(2) iptables 中关闭相应 jdwp 对外访问的端⼝。
5.3 ⽣产应⽤只能有⼀个⼊⼝
严重性中,可能性中。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论