day2_j2ee安全开发.pptVIP

J2EE安全开发 杭州安恒信息技术有限公司 Java 代码编码安全 代码框架安全 2 一、开发中常见漏洞介绍及示例说明和可参考的解决方法： Web通用： XSS、CSRF、SQL注入、文件上传等 J2EE特点所致: 组件信息泄露、安全目录绕过等 4 Web通用 -- XSS 描述： 攻击者对应用的页面注入恶意脚本（通常是指html脚本），然后在页面执行这个恶意脚本，到达攻击目的。 通常类型：反射型、存储型两大类（还有些如：所谓的DOM型等） 示例： 一个用户输入并在页面输出的简单功能在jsp里的实现（servelt或框架实现同理）， Nebula.jsp伪代码： %@ page language=java contentType=text/html; charset=utf-8 pageEncoding=utf-8% !DOCTYPE html PUBLIC -//W3C//DTD HTML 4.01 Transitional//EN /TR/html4/loose.dtd html head meta http-equiv=Content-Type content=text/html; charset=utf-8 titledemo/title /head body % String input=request.getParameter(input); out.print(我的输入：+input); % /body /html 注入的Javascript脚本被解析执行，形成一个反射型XSS： 危害： 对于一般应用，用户cookie盗取（普通用户及管理员登录cookie ）非法登录应用。 例如：tomcat与浏览器身份验证的session id是已cookie的形式存储浏览器客户 端 对于大量用户交互的大型应用（如：SNS站点），可形成蠕虫，严重影响业务，如: 1、历史第一个XSS蠕虫是针对网站MySpace的Samy(20小时内感染了100万个账户) 2、Sina微博XSS蠕虫攻击事件的HelloSamy(16分钟受影响用户就达到将近33000个) Java开发中，可参考的解决方法示例： 针对“输入”与“输出” 方式，如 输入：String input=request.getParameter(“input”); 输出：out.print(我的输入：+input); 对Input参数的Html标签进行转义 一般的业务逻辑代码流程：输入 数据存储（如：存入DB）  输出 存储型XSS，如：存入DB,同一应用一般情况，危害性存储型大于反射型XSS. 特点：隐蔽性强，数据的流向不确定（如：数据可能被其他应用调用）等 一般选择“输入” 处理方式，伪代码： 输入：String input=request.getParameter(“input”); // 对html标签转义的逻辑代码 // 其他业务逻辑（如：数据存储） 输出：out.print(我的输入：+input); 参数值转义html标签的伪代码示例： public static String filter(String str) { if (str == null) return (null); char content[] = new char[str.length()]; str.getChars(0, str.length(), content, 0); StringBuilder result = new StringBuilder(content.length + 50); for (int i = 0; i content.length; i++) { switch (content[i]) { case :result.append(lt;); break; case :result.append(gt;);break; case :result.append(amp;);break; case :result.append(quot;);break; default