JSP网络应用程序安全漏洞防护及实例解析.pdfVIP

信息安全 JSP网络应用程序安全漏洞 防护及实例解析 王 静 (武汉市教育科学研究院,湖北 武汉 ) 430030 摘 要 论述了 网络应用程序面临的安全漏洞,并结合实例提出了其防护建议。 : JSP 关键词: 网络应用程序;安全漏洞防护 JSP 中图分类号: 文献标识码: 文章编号: TP393.08 A 用户输入的问题在于,它们由服务器 时不应该依赖于未经检验的用户输入。另 的安全问题 1 JSP 端的应用程序解释,所以攻击者可以通过 外,打开一个流之后,把用户输入直接发 修改输入数据达到控制服务器脆弱部分 送给它是很不安全的。对于 查询来说 由于完全开放了对服务器资源的访 SQL 的目的。服务器的脆弱部分常常表现在一 这一点尤其突出。访问 的 代 问,从 页面转换得到的不安全 可 JDBCAPIJSP JSP Servlet 能给服务器、服务器所在的网络、访问页 些数据访问点,这些数据由用户提供的限 码片断很不安全,因为攻击者可以在他提 面的客户机之中的任意一个或全体带来 定词标识,或通过执行外部程序得到。JSP 交的输入中嵌入分隔命令的字符,从而达 威胁,甚至通过 或蠕虫分布式攻击, 能够调用保存在库里面的本地代码(通过 到执行危险命令的目的: DDoS )以及执行外部命令。类 提供了 还可能影响到整个 。另外, 的体 JNI Runtime InternetJSP 一个 方法。 方法把它的第一个 这里加上一些打开 系结构相当复杂,其中包含许多相互协作 exec()exec() !-- SQL 参数视为一个需要在独立的进程中执行 连接的代码 -- 的子系统。这些子系统之间的交互常常是 Server 安全隐患的根源。 的命令行。如果这一命令字符串的某些部 除此之外,虽然现在所有的 实现 分必须从用户输入得到,则用户输入必须 Statement(); JSP 都围绕着 ,但 规范允许几乎所有其 先进行过滤,确保系统所执行的命令和它 Stringquery= JavaJSP 它语言扮演这个角色。这样,这些替代语 们的参数都处于意料之内。即使命令字符 言的安全问题也必须加以考虑。 串和用户输入没有任何关系,执行外部命 WHEREUSER= 令时仍旧必须进行必要的检查。在某些情 常见安全漏洞及