Web系统安全漏洞(JAVA)

最新推荐文章于 2024-06-11 11:12:24 发布
最新推荐文章于 2024-06-11 11:12:24 发布
阅读量1.1k 收藏
点赞数 2
分类专栏: 系统安全 文章标签: Java web系统 安全漏洞 框架技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenfei2744/article/details/89058378
版权

Web系统安全漏洞

引言

最近,公司中通过AppScan和360两种工具,对系统进行漏洞扫描。由于我们做的是传统行业项目,运用的框架等技术,比较落后。所以扫描结果可想而知,“雪崩”。于是乎,我们就开始了无尽的折磨…

1.代码注入

(1)命令注入

我们的系统,是跑在WinServer上的,里面有部分代码会对操作系统的CPU、内存等进行监控,这时就用到了System.Runtime.getRuntime().exec();这个方法,执行对应的cmd命令。由于对入参的String,未做任何关键校验,导致出现此漏洞。

下面我举个栗子:

以下代码来自一个Web应用程序,该段代码通过运行rmanDB.bat脚本启动Oracle数据库备份,然后运行cleanup.bat脚本删除一些临时文件。脚本文件rmanDB.bat接受一个命令行参数,其中指明需要执行的备份类型。

...
String btype = request.getParameter("backuptype");
String cmd = new String("cmd.exe /K \"c:\\util\\rmanDB.bat "+btype+"&& c:\\utl\\cleanup.bat\"");
System.Runtime.getRuntime().exec(cmd);
...

该段代码没有对来自用户请求中的backuptype参数做任何校验。
通常情况下,Runtime.exec()函数不会执行多条命令,但在以上代码中,为了执行多条命令,程序调用Runtime.exec()方法,首先运行了cmd.exe指令,因此能够执行用&&分隔的多条命令了。
如果攻击者传递了一个形式为"&& del c:\\dbms\\*.*"的字符串,那么该段代码将会在执行其他指定命令的同时执行这条命令,对系统造成伤害。

(2)SQL注入

什么是SQL注入呢?它是一种数据库攻击手段,用户可以通过输入的参数,对原本的这个sql语句,进行更改,导致该sql执行出其它效果,对系统造成伤害。

例如:

我们在进行系统登陆的场景中,系统会执行这样一条SQL语句,
" SELECT id,username,password FROM db_user WHERE username = ' " + username + " ' AND password = ' " + pwd + " ' ";

如果将username的值写为张三’ OR ‘1’=1,这时这个sql语句,就变为:
SELECT id,username,password FROM db_user WHERE username=‘张三’ OR ‘1’=‘1’ AND password=’’;
这样的情况,攻击者会在不知道用户的方式,登入你的系统,进行侵入。

同样,攻击者可以为password提供如下字符串,’ OR ‘1’='1
SELECT id,username,password FROM db_user WHERE username=’’ AND password=’'OR ‘1’=‘1’;
也可以达到入侵系统的目的。

而在我们的项目中,使用公司自己的框架,其中框架中与数据库的操作,大多是对JDBC操作的封装。很多地方使用java.sql.Statement拼接出来的sql语句都是类似上面的场景描述的那样,会引起SQL注入。而且,前人在写代码时,也未对具体的入参进行关键校验。

下面说说怎么改进:

就是,将之前的java.sql.Statement替换为java.sql.PreparedStatement,更换了API,使用后者的好处不少,我来简单罗列一下:

  1. 很好的,防止SQL注入,具体的原因还是因为有预编译的能力,在后期参入传入时通过替换占位符,将指定参数传入。(SQL注入只会在编译期存在隐患)
  2. 有预编译效果,使数据库多次执行同一个sql语句,性能更高。
  3. 使代码更加简洁(强加的优点,哈哈)。

鉴于以上优点,尽量使用“PreparedStatement” 。不过身为21世纪的程序猿,在项目中与数据库的交互,普遍都在用MyBatis、Hibernate框架,这类框架已经很好的屏蔽了这一层次的问题。但是在这些框架中依然存在SQL注入的情况,这个安全问题,值得注意。

MyBatis框架SQL注入

这个框架在我们的项目中,没有用到,我在这里作为知识点,简单总结一下。
其实主要就是通过 #{} 防止SQL注入。
可以通过DeBug得到,它通过代码执行出的sql语句是这样的:

	//数据库执行该语句之前,会进行预编译
	SELECT id,username,password FROM db_user WHERE username = ? AND password = ?;

在数据库执行时,会动态的将 “?”这个占位符替换为具体参数,执行SQL语句。从而避免SQL注入问题。本质上还是使用了JDBC的PreparedStatement先进行了预编译,这是个关键点。

还有一种表达式是**${}**,它也可以将变量插入sql语句中,但是它未进行预编译,是非安全的,存在SQL注入的隐患。因为它在代编译期的时候,会将参数值传入SQL语句中,与上面的登陆场景效果一样。这种表达式,可以用于动态传入数据库对象,例如传入表名。

chenfei2744
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
高级java开发工程师也会犯得错误,你中枪了吗。
weixin_39819880的博客
05-27 516
高级java开发工程师也会犯得错误,你中枪了吗。 写在前面的话:记录一下平常开发造成项目安全问题的漏洞,以免自己今后再犯错误。 1.SQL注入 SQL注入攻击即用户通过输入非法字符串,篡改原SQL语句的意图。SQL语句由用户输入条件动态组装,就存在此风险。 例如1. 屏蔽查询条件: String userName = ctx.getAuthenticatedUserName(); Stri...
PreparedStatment防止SQL注入原理
qq_45671431的博客
05-06 1130
什么是SQL注入 SQL注入是将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,最终达到欺骗服务器执行恶意的SQL命令进而传给数据库服务器以执行数据库命令。如Web应用程序的开发人员对用户所输入的数据或cookie等内容不进行过滤或验证(即存在注入点)就直接传输给数据库,就可能导致拼接的SQL被执行,获取对数据库的信息以及提权,发生SQL注入攻击。 S...
描述常见的Java安全漏洞和防范措施
最新发布
m0_46552684的博客
06-11 659
通过实施这些防范措施,可以显著降低Java应用程序面临的安全风险,提高系统的安全性。一、常见的Java安全漏洞
Web安全常见漏洞原理、危害及其修复建议
2201_75362610的博客
03-09 1781
(当文件上传时,如果服务端的脚本语言没有对上传的文件进行检查和过滤,那假如,渗透者直接上传恶意代码文件,那么就有可能直接控制整个网站,或者说以此为跳板,直接拿下服务器,这就是文件上传漏洞。②csrf攻击之所以能成功,是因为攻击者伪造用户请求,所以抵御csrf的关键在于:在请求中放入攻击者不能伪造的请求,例如,可以在HTTP请求中加入一个随机产生的token,并在服务器端验证token,如果请求中没有token或者token内容不正确,则认为请求可能是csrf攻击,从而拒绝该请求
十大常见web漏洞及防范
xiaoganbuaiuk的博客
02-20 1079
互联网和Web技术广泛使用,使Web应用安全所面临的挑战日益严峻,Web系统时时刻刻都在遭受各种攻击的威胁,在这种情况下,需要制定一个完整的Web攻击防御解决方案,通过安全的Web应用程序、Web服务器软件、Web防攻击设备共同配合,确保整个网站的安全。此外 ,Web攻击防御是一个长期持续的工作,随着Web技术的发展和更新,Web攻击手段也不断发展,针对这些最新的安全威胁,需要及时调整Web安全防护策略,确保Web攻击防御的主动性,使Web网站在一个安全的环境中为企业和客户服务。否则,网络流量顺利通过。
常见Web十大漏洞,常见Web漏洞
qq_22792465的博客
07-27 6398
参考:https://blog.csdn.net/weixin_43376075/article/details/105189017https://blog.csdn.net/qq_43168364/article/details/105595532https://www.cnblogs.com/-qing-/p/10819069.html代码执行函数:1- eval()#传入参数必须为PHP代码,既需要以分号结尾。比如从指定URL地址获取网页文本内容,加载指 定地址的图片,下载等等。
java安全漏洞靶场构建文件
07-05
在构建 Java 安全漏洞靶场时,需要安装和配置 Ubuntu 20.04 操作系统。 知识点6: Java 应用程序部署 在构建 Java 安全漏洞靶场时,需要部署 Java 应用程序。部署 Java 应用程序需要将 WAR 包放在 Tomcat 的 ...
Java Web反序列化网络安全漏洞分析.pdf
03-31
- 更新组件:定期更新依赖库,修复已知的安全漏洞。 - 审计代码:进行代码审查,识别潜在的反序列化风险点。 6. **实例分析** 以Apache Commons Collections为例,该库中的`InvokerTransformer`类就曾被利用进行...
Java编写的Web漏洞靶场.zip
01-14
在靶场中,安全专业人员可以模拟攻击者的行为,发现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗攻击提高防御能力。 靶场的搭建还促进了团队协作与...
基于Java Web的反序列化信息安全漏洞挖掘研究.pdf
03-31
Java Web的反序列化信息安全漏洞是当前网络安全领域的一大关注点,尤其在企业级应用中,这类漏洞可能导致严重的安全风险。Java作为一种广泛应用的编程语言,因其跨平台性、多线程支持和强大的系统稳定性,被广泛用于...
java web安全培训一期
12-19
这些知识点是保障Web应用免受恶意攻击、保护用户数据和系统安全的基础。 首先,防御核心原则是所有安全策略的基石。这涉及到理解常见的攻击手法,如SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)等,并采取预防...
WEB安全】常见WEB漏洞
热门推荐
12-02 2万+
    欢迎关注公众号: ----------------------------------------------正文----------------------------------------------------     Web应用是指采用B/S架构、通过HTTP/HTTPS协议提供服务的统称。随着互联网的广泛使用,Web应用已经融入到日常生活中的各个方面:网上购物...
Web系统常见的几种漏洞及防护方案
2301_76161259的博客
03-28 1289
利用漏洞对计算机进行攻击渗透,前提是服务器能正常通信。服务器提供各种服务给客户端进行使用的。它是依靠端口来进行通信,黑客也是根据端口来进行入侵的。那么也不排除一些物理攻击的方式,例如社会工程学①等。
Java WEB安全问题及解决方案
天书夜读
11-09 2117
1.弱口令漏洞 解决方案:最好使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码,应存储MD5加密后的密文,由于目前普通的MD5加密已经可以被破解,最好可以多重MD5加密。 2.未使用用户名及密码登录后台可直接输入后台URL登录系统。 解决方案:通过配置filter来过滤掉无效用户的连接请求。 3.JSP页面抛出的异常可能暴露程序信息。有经验的入侵者,可以从JSP程序的
Java反序列化漏洞从入门到深入(转载)
07-21 992
前言 学习本系列文章需要的Java基础: 了解Java基础语法及结构(菜鸟教程) 了解Java面向对象编程思想(快速理解请上知乎读故事,深入钻研建议买本《疯狂Java讲义》另外有一个刘意老师的教学视频也可以了解一下,其中关于面向对象思想的介绍比较详细。链接:https://pan.baidu.com/s/1kUGb3D1#list/path=%2F&pare...
常见web安全漏洞介绍
xunyunai9767的博客
11-16 2642
介绍常见web漏洞,参考OWASP top10漏洞,pikachu靶场
JAVA-WEB常见漏洞】文件访问类
Websec
11-17 2252
本章节将讲解与Java文件或目录访问安全性问题,常见的Java文件操作相关的漏洞大致有如下类型: 任意目录遍历 任意文件、目录复制 任意文件读取/下载 任意文件、目录修改/重命名 任意文件、目录删除 ...... 我们通常把这类漏洞归为一个类型,因为产生漏洞的原因都是因为程序对文件或目录访问控制不严、程序内部逻辑错误导致的任意文件或目录恶意访问漏洞。 任意文件读取 任意文件读写漏洞即因为没有验证请求的资源文件是否合法导致的,此类漏洞在Java中有着较高的几率出现,任意文件读取漏洞原理很...
java开发常见漏洞_详解Javaweb中常见漏洞的防御
weixin_33325305的博客
02-13 625
上一篇给大家介绍了SpringMVC中常见的客户端数据输入点,这一篇给大家讲解下java中常见漏洞的防御方法。0x01.sql注入下面我们就用利用SpringMVC自带的数据库操作类jdbcTemplate举例。比如下面Dao中有如下的两个函数。函数save使用的是绑定变量的形式很好的防止了sql注入,而queryForInt_函数接收id参数直接对sql语句进行了拼接,测试时出现sql注入。pu...
java学习笔记-设计模式之单例模式如何防止反射及反序列化漏洞
学渣程序员的博客
11-22 942
在前一篇文章中,对单例模式列举了五种实现方式。其中枚举模式拥有出生光环,天生就没有反射及反序列化漏洞。针对其他四种实现方式,在本篇文章中对懒汉式单例模式实现进行反射及反序列化漏洞测试。 一、通过反射破解懒汉式单例模式 重新创建测试类TestClientNew,通过反射获取到类,使用newInstance进行初始化。代码如下(详细看注释): package com.zwh.gof23.sin...
Java安全编程:防止Web应用漏洞
"本资源主要探讨了Java安全编码的相关问题,旨在帮助开发者避免常见的安全漏洞,提升Web应用的安全性。课程目标包括了解多种攻击方法,如SQL注入、跨站脚本攻击(XSS)、HTTP响应拆分等,并关注访问控制、随机性不...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值