近年來,網絡安全越來越受到開發者的重視。關注安全編碼能很大程度上避免安全漏洞的産生,也能有效保護使用者的利益不被輕易侵犯。本文從6個方面簡述了Java安全編碼的問題,歡迎交流指正。
目錄
- 1 - 輸入校驗
- 1.1 SQL 注入防範
- 1.2 XSS防範
- 1.3 代碼注入/指令執行防範
- 1.4 日志僞造防範
- 1.5 XML 外部實體攻擊
- 1.6 XML 注入防範
- 1.7 URL 重定向防範
- 2 - 異常處理
- 2.1 敏感資訊洩露防範
- 2.2 保持對象一緻性
- 3 - I/O 操作
- 3.1 資源釋放
- 3.2 清除臨時檔案
- 3.3 避免将 bufer 暴露給不可信代碼
- 3.4 任意檔案下載下傳/路徑周遊防範
- 3.5 非法檔案上傳防範
- 4 - 序列化/反序列化操作
- 4.1 敏感資料禁止序列化
- 4.2 正确使用安全管理器
- 5 - 運作環境
- 5.1 不要禁用位元組碼驗證
- 5.2 不要遠端調試/監控生産環境的應用
- 5.3 生産應用隻能有一個入口
- 6 - 業務邏輯
- 6.1 使用者體系
- 6.2 線上支付
- 6.3 順序執行
- 參考資料
- 版權聲明
編碼原則:針對各種語言本身的保留字元,做到資料與代碼相分離。
嚴重性高,可能性低。
(1) 參數校驗,攔截非法參數(推薦白名單):
public String sanitizeUser(String username) {
return Pattern.matches("[A-Za-z0-9_]+", username)
? username : "unauthorized user";
}
(2) 使用預編譯:
String sql = "UPDATE EMPLOYEES SET SALARY = ? WHERE ID = ?";
PreparedStatement statement = conn.prepareStatement(sql);
statement.setBigDecimal(1, 285500.00);
statement.setInt(2, 30015800);
嚴重性中,可能性高。防範方法有:
(1) 輸入輸出校驗(推薦白名單);
(2)
org.apache.commons.lang
工具包處理;
(3) 富文本可用
owasp antisamp
或
java html sanitizer
處理;
(4) ESAPI 處理:
// HTML 實體
ESAPI.encoder().encodeForHTML(data);
// HTML 屬性
ESAPI.encoder().encodeForHTMLAttribute(data);
// JavaScript
ESAPI.encoder().encodeForJavaSceipt(data);
// CSS
ESAPI.encoder().encodeForCSS(data);
// URL
ESAPI.encoder().encodeForURL(data);
(1) 參數校驗,攔截非法參數(推薦白名單);
(2) 不直接執行使用者傳入參數:
if("open".equals(request.getParameter("choice"))) {
Runtime.getRuntime().exec("your command...");
}
(3) 及時更新更新第三方元件:
比如Struts、Spring、ImageMagick等。
嚴重性低,可能性高。
(1) 不要log使用者可控的資訊;
(2) 輸入參數校驗(推薦白名單):
// 處理回車、換行符
Pattern p = Pattern.compile("%0a|%0d0a|\n|\r\n");
Matcher m = p.matcher(data);
dest = m.replaceAll("");
(3) 使用 Log4j2。
嚴重性中,可能性中。
(1) 關閉内聯 DTD 解析,使用白名單來控制允許使用的協定;
(2) 禁用外部實體:
DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();
factory.setExpandEntityReferences(false);
(3) 過濾使用者送出的 XML 資料:
比如
!DOCTYPE
、
<!ENTITY
SYSTEM
PUBLIC
等。
嚴重性中,可能性低。
(1) 教研使用者輸入(推薦白名單):
OutputFormat format = OutputFormat.createPrettyPrint();
(2) 使用安全的 XML 庫(比如 dom4j)。
(1) 設定嚴格白名單幾網絡邊界:
String url = request.getParameter("url");
String host = getHostFromUrl(url);
if(!validateHost(host)) {
return;
}
(2) 加入有效性驗證的 Token;
(3) referer 适用于檢測監控 URL 重定向、CSRF 等,多數場景下也可用作防範措施。
編碼原則:不要洩露詳細異常資訊。
嚴重性低,可能性中。
屏蔽敏感資訊示例:
catch(IOException e) {
System.out.println("Invalid file");
// System.out.println("Error code: 0001");
return;
}
(1) 重排邏輯,使得産生異常的代碼在改變對象狀态的代碼之前執行;
catch(Exception e) {
// revert
money -= PADDING;
return -1;
}
(2) 在出現異常導緻操作失敗的情況下,使用事務復原機制;
(3) 在對象的臨時拷貝上執行操作,成功後再送出給正式的對象;
(4) 回避修改對象的需求,盡量不去修改對象。
編碼規則:可寫的檔案不可執行,可執行的檔案不可寫。
Java 垃圾回收器回自動釋放記憶體資源,非記憶體資源需要開發人員手動釋放,比如 DataBase,Files,Sockets,Streams,Synchronization 等資源的釋放。
try {
Connection conn = getConnection();
Statement statement = conn.createStatement();
ResultSet resultSet = statement.executeQuery(sqlQuery);
processResults(resultSet);
} catch(SQLException e) {
// forward to handler
} finally {
if (null != conn) {
conn.close();
}
}
(1) 自動清除:
File tempFile = Files.createTempFile("tempname", ".tmp");
try {
BufferedWriter writer = Files.newBufferedWriter(tempFile.toPath(),
StandardCharsets.UTF_8, StandardOpenOption.DELETE_ON_CLOSE)
// operate the file
writer.newLine();
} catch (IOException e) {
e.printStackTrace();
}
(2) 手動清除。
wrap、duplicate 建立的 buffer 應該以隻讀或拷貝的方式傳回:
Charbuffer buffer;
public Duplicator() {
buffer = CharBuffer.allocate(10);
}
/** 擷取隻讀的 Buffer */
public CharBuffer getBufferCopy() {
return buffer.asReadOnlyBuffer();
}
嚴重性中,可能性高。
(1) 校驗使用者可控的參數(推薦白名單);
(2) 檔案路徑儲存到資料庫,讓使用者送出檔案對應的 ID 去下載下傳檔案:
<%
String filePath = getFilePath(request.getParameter("id"));
download(filePath);
%>
(3) 判斷目錄和檔案名:
if(!"/somedir/".equals(filePath) || !"jpg".equals(fileType)) {
...
return -1;
}
(4) 下載下傳檔案前做權限判斷。
補充:禁止将敏感檔案(如日志檔案、配置檔案、資料庫檔案等)存放在 web 内容目錄下。
嚴重性高,可能性中。
在伺服器端用白名單方式過濾檔案類型,使用随機數改寫檔案名和檔案路徑。
if(!ESAPI.validator().isValidFileName(
"upload", filename, allowedExtensions, false)) {
throw new ValidationUploadException("upload error");
}
補充:如果使用第三方編輯器,請及時更新版本。
編碼原則:不信任原則。
使用
transient
serialPersistentFields
标注敏感資料:
private static final ObjectStreamField[] serialPersistentFields = {
new ObjectStreamField("name", String.class),
new ObjectStreamField("age", Integer.TYPE)
}
當然,正确加密的敏感資料可以序列化。
如果一個類的構造方法中含有各種安全管理器的檢查,在反序列化時也要進行檢查:
private void writeObject(ObjectOutputStream out) throws IOException {
performSecurityManagerChek();
out.writeObject(xxx);
}
補充:第三方元件造成的反序列化漏洞可通過更新更新元件解決;
禁止 JVM 執行外部指令,可減小序列化漏洞造成的危害。
編碼原則:攻擊面最小化原則。
啟用 Java 位元組碼驗證:
Java -Xverify:all ApplicationName
(1) 生産環境中安裝預設的安全管理器,并且不要使用
-agentlib
,
-Xrunjdwp
和
-Xdebug
指令行參數:
${JAVA_HOME}/bin/java -Djava.security.manager ApplicationName
(2) iptables 中關閉相應 jdwp 對外通路的端口。
移除項目中多餘的
main
方法。
編碼原則:安全設計 API。
過程如下:
(1) identification <-- 宣稱使用者身份(鑒定提供唯一性)
|
|--> (2) authentication <-- 驗證使用者身份(驗證提供有效性)
|--> (3) authorization <-- 授權通路相關資源(授權提供通路控制)
|--> RESOURCE
|--> (4) accountability <-- 日志追溯
(1) 身份驗證:
多因素認證;
暴力破解防範:驗證碼、短信驗證碼、密碼複雜度校驗、鎖定賬号、鎖定終端等;
敏感資料保護:存儲、傳輸、展示(API 接口、HTML 頁面掩碼);
禁止本地驗證:重要操作均在伺服器端進行驗證。
(2) 通路控制:
從 Session 中擷取身份資訊;
禁用預設賬号、匿名賬号,限制超級賬号的使用;
重要操作做到職責分離;
使用者、角色、資源、權限做好互相校驗;
權限驗證要在伺服器端進行;
資料傳輸階段做好加密防篡改。
補充:oauth 授權時授權方和應用方都要做好安全控制。
(3) 會話管理:
| 漏洞名稱 | 防禦方法 |
|---|---|
| 會話 ID 中嵌入 URL | 會話 ID 儲存在 Cookie 中 |
| 無 Session 驗證 | 所有的通路操作都應基于 Session |
| Session 未清除 | 登出、逾時、關閉浏覽器時,都要清除 Session |
| Session 固定攻擊 | 認證通過後更改 Session ID |
| Session ID 可猜測 | 使用開發工具中提供的會話管理機制 |
| 重播攻擊 | 設定一次失效的随機數,或設定合理的時間窗 |
補充:設定認證 Cookie 時,需加入 secure 和 httponly 屬性。
(3) 日志追溯:
- 記錄每一個通路敏感資料的請求,或執行敏感操作的事件;
- 防範日志僞造攻擊(輸入校驗);
- 任何對日志檔案的通路(讀、寫、下載下傳、删除)嘗試都必須被記錄。
支付資料做簽名,并確定簽名算法的可靠;
重要參數進行校驗,并做有效性驗證;
驗證訂單的唯一性,防止重播攻擊。
對每一步的請求都要嚴格驗證,并且要以上一步的執行結果為依據;
給請求參數加入随機 key,貫穿驗證的始終。
安全編碼指南Secure Coding Guidelines for Java SE
安全編碼示例SEI CERT Oracle Coding Standard for Java
作者:瘦風(https://healchow.com)
出處:部落格園-瘦風的南牆(https://www.cnblogs.com/shoufeng)
感謝閱讀,公衆号 「瘦風的南牆」 ,手機端閱讀更佳,還有其他福利和心得輸出,歡迎掃碼關注🤝
本文版權歸部落客所有,歡迎轉載,但 [必須在頁面明顯位置标明原文連結],否則部落客保留追究相關人士法律責任的權利。
![Java小案例——随機數猜測随機數猜測[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)