如何安全检测JavaWeb应用网站漏洞.docxVIP

如何安全检测Java Wob应用网站漏洞.txt32因为爱心，流浪的人们才能重返家园；因为爱 心，疲惫的灵魂才能活力如初。渴望爱心，如同星光渴望彼此辉映；渴望爱心，如同世纪之 歌渴塑永远被唱下去。web开发应用程序（网站）是目前应用最广泛的程序。但是开发者的 水平参差不齐，导致了各种各样web漏洞的出现。本文站在分层架构的角度，分析一下如何 在java web程序屮找到可能出现的种种漏洞。 本文讨论的只是web程序上的漏洞，和其它漏洞，是相对独立的。这句话看似废话, 实际上却说明了时常被忽略的因素，即：“很多人认为只要我开发web程序没有漏洞，昶b服 务器就安全了”，事实上，并非如此。一个合格的web程序开发人员，应该时刻清楚自己开发 的程序会在什么环境屮被使用，以及一旦自己的程序产生某种漏洞，最终会导致什么后果。 简单的说，web程序被安装在一台或多台（分布式）web服务器上，一旦安装成功，就等于在 为广大用户提供服务的同时，给入侵者打开了一条或N条新的思路。如果服务器管理员刚好 对安全配置不了解（事实上，国内这种管理员居多），那么只好由我们的程序來守好最后的关 卡最后一道防线。 看了本文题目，一定冇一部分人会认为，“不就是讲JSP漏洞么，用得着披着这么厚 的包装么？ ”，为了回答这个疑问,我们先看看JSP和ASP的开发有什么不同吧。在ASP时代 （ASP, PHP等语言），开发一套系统往往比修改别人已经写好的系统痛苦的多，因为它们把 所有的代码（包括链接数据库的代码、执行SQL语句的代码、控制页而显示的代码）统统都 放在％ %中，我们时常会看到如下代码块： 代码来口某ASP SHELL Function GetFi1eSize（size） Dim FileSize FileSize=size / 1024 FileSize=FormatNumber（FileSize, 2） If F订eSize 1024 and F订eSize 1 then GetFileSize二〈font color=redz， Fi leSize 〈/fontnbsp;KB〃 Elself FileSize 1024 then GetEileSize=//font color=red/z FormatNumber （FileSize / 1024,2） /fontnbsp;MB El se GetFi1 eSize二〈font color=red Size /fontnbsp;Bytes End If End Function 如果客户的需求变了，耍求页而不能使用“〈font color-red〉”等标签，全部应用 “CSS”显示。挂了，把程序员召唤出来，一个一个的改吧。。。注意，这里强调下，特指“召 唤程序员”才能改，如果是学美工的，只会HTML、JS、CSS,完了，这活还干不成。而这些 只是简单的页面修改，如果客户今天说，MYSQL服务器承担不了这个数据量，要挂Oracle, 可怜的程序员就要在一片一片的代码海洋里寻找执行SQL语句的代码，而每一个文件都町能 存放着SQL语句，意味看每一个文件都可能在受SQL注入的威胁。 而JSP采用MVC模式分层架构进行开发，就可以把所有的文件分开，根据其用途, 分别放在不同的文件夹下（分层），每个文件夹下的文件只负责自己的事情。例如数据访问层 的代码就放在数据访问层的文件夹下，业务逻辑层的代码也都放在口己的文件夹下，当显示 层（这一层是为了把最终的运算结果显示给用户看）的需求发生变化，就像前面的客户需求, 我们只要修改这一层的文件就是了，其他层的代码根本不需要动，而修改者也不需要懂得其 它层的代码。 代码分层了，意味着漏洞也在跟着分层，我们寻找JSP漏洞的思路也要跟着分层，才能 与时俱进。 下面在讲述寻找漏洞的过程中，本文就拿一个简单的分层架构例子来做样板。样板 程序的名称为“XX文章系统”，系统使用了 STRUTS框架，和安全冇关的层分为： “DB层”，这一?层存放了链接数据库的字符串，以及JdbcTemplate类，总接访问数据 库。因为在java中，执行SQL语句的函数按照返回值可以分为三类，所以在这一层定义了 JDBC模版类（JdbcTemplate）,每一次使用操作数据库时都要执行这一层的三个方法其屮一 个。 “DAO层（Data Access Object数据访问对象层）”，从安全角度上看，这一层存放了 SQL 语句（并不执行SQL语句，语句传给DB层执行）。这一层调用“DB层”访问数据库，它只知 道“DB层”的存在，不知道数据库的存在。 SERVICE层”，业务逻辑层，因为一个业务的实现，并不是一次数据库访问就可以完成 的，所以这一层通过N次调用“DAO层的方法”实现业务逻辑，