java开发常见漏洞及处理说明.docVIP

. . Java常见漏洞及 处理说明 杨博 本文专门介绍针对java web程序常见高危安全漏洞（如：SQL注入 、 XSS跨站脚本攻击、文件上传）的过滤和拦截处理，确保系统能够安全的运行。 SQL注入（SQL Injection） 经分析确认本系统对SQL 注入做了相应的过滤处理，可以有效应对SQL注入攻击，确保系统安全。 详细说明： 攻击方式：所谓SQL注入式攻击，就是的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。 防御方式：对用户输入或请求进行预验证处理，过滤掉可能造成恶意SQL的字符。 本系统属于政府部门门户网站，用户发布的是新闻动态，不会涉及到学术研究SQL方面的东西，所以本系统采用过滤器的方式对用户输入或请求进行过滤处理，如果输入或请求涉及恶意SQL方面的字符将一律过滤掉，这不会影响用户的使用，同时确保了系统的安全。 系统配置文件web.xml初始化时同时初始化过滤器，过滤器起到全局作用，并设置为针对所有请求。 过滤器AntiSqlInjectionfilter: XSS攻击（DOM XSS、Stored XSS、Reflected XSS） 经确认本系统已对XSS攻击做了拦截及过滤处理，达到了有效对抗XSS攻击的效果，确保系统的安全。 详细说明： 攻击方式：XSS又称CSS，全称Cross SiteScript，跨站脚本攻击，是Web程序中常见的漏洞，XSS属于被动式且用于客户端的攻击方式，所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码，当其它用户浏览该网站时，这段HTML代码会自动执行，从而达到攻击的目的。如，盗取用户Cookie、破坏页面结构、重定向到其它网站等。 防御方式：需要对用户的输入进行处理，只允许输入合法的值，其它值一概过滤掉。 本系统提供了专门的针对XSS攻击的过滤器，过滤掉了html/javaScript中的标签符号，防止恶意HTML代码。 系统配置文件web.xml初始化时同时初始化过滤器，过滤器起到全局作用，并设置为针对所有请求。 点击进入过滤器类XssFilter： 针对HttpRequest请求 Unnormalize Input String 经分析确认此漏洞主要是文件上传输入路径漏洞，系统已有专门针对文件上传文件类型格式的过滤器，确保上传文件的安全，有效防止了系统受到攻击。 详细说明： 攻击方式：上传具有可执行性的程序代码文件，如：HTML、JSP等文件对系统进行修改或盗取用户信息。 防御方式： 1.文件类型验证过滤，防止上传可执行程序文件2.使用随机数改写文件名和文件路径，使得用户不能轻易访问自己上传的文件 本系统提供了专门的过滤器，过滤掉了可执行程序文件。过滤器在系统初始化时将会被调用，系统初始化配置文件web.xml中： 以此可以有效防止文件上传的漏洞