java开发常见漏洞_详解Javaweb中常见漏洞的防御

最新推荐文章于 2023-01-11 17:40:05 发布
最新推荐文章于 2023-01-11 17:40:05 发布
阅读量589 收藏
点赞数
文章标签: java开发常见漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33325305/article/details/114131091
版权

上一篇给大家介绍了SpringMVC中常见的客户端数据输入点,这一篇给大家讲解下java中常见漏洞的防御方法。

0x01.sql注入

下面我们就用利用SpringMVC自带的数据库操作类jdbcTemplate举例。比如下面Dao中有如下的两个函数。

函数save使用的是绑定变量的形式很好的防止了sql注入,而queryForInt_函数接收id参数直接对sql语句进行了拼接,测试时出现sql注入。

public static void save(String username,String password) {

jdbcTemplate.update("insert into test_table(user_name,password) values(?,?)",

new Object[]{username,password});

}

public static int queryForInt_(String id){

return jdbcTemplate.queryForInt("select count(0) from test_table where id = " + id);

}

public static void save(String username,String password) {

jdbcTemplate.update("insert into test_table(user_name,password) values(?,?)",

new Object[]{username,password});

}

public static int queryForInt_(String id){

return jdbcTemplate.queryForInt("select count(0) from test_table where id = " + id);

}

#为了方便仅仅贴出了DAO层代码

所以,在java代码的开发过程中,我们尽量避免使用拼接sql语句的形式去执行数据库语句。如果需要使用拼接sql语句的形式进行数据库查询,那么OWASP提供了一个防御sql注入的Esapi包,这个包中的encodeForSQL方法能对sql注入进行很好的防御。

接着我们就分析下这个encodeForSQL方法。

首先我们介绍这个方法的使用,使用时调用如下,不同的数据库使用不到的方法。

//防止Oracle注入

ESAPI.encoder().encodeForSQL(new OracleCodec(),queryparam)

//防止mysql注入

ESAPI.encoder().encodeForSQL(new MySQLCodec(Mode.STANDARD),queryparam) //Mode.STANDARK为标准的防注入方式,mysql一般用使用的是这个方式

//防止DB2注入

ESAPI.encoder().encodeForSQL(new DB2Codec(),queryparam)

//防止Oracle注入的方法例子,为了方便仅仅给出sql语句的拼接部分

Codec ORACLE_CODEC = new OracleCodec();

String query ="SELECT user_id FROM user_data WHERE user_name = ‘"+ESAPI.encoder().encodeForSQL(ORACLE_CODEC,req.getParameter("userID"))+"’ and user_password = ‘"+ESAPI.encoder().encodeForSQL(ORACLE_CODEC,req.getParameter("pwd"))+"’";

//防止Oracle注入

ESAPI.encoder().encodeForSQL(new OracleCodec(),queryparam)

//防止mysql注入

ESAPI.encoder().encodeForSQL(new MySQLCodec(Mode.STANDARD),queryparam) //Mode.STANDARK为标准的防注入方式,mysql一般用使用的是这个方式

//防止DB2注入

ESAPI.encoder().encodeForSQL(new DB2Codec(),queryparam)

//防止Oracle注入的方法例子,为了方便仅仅给出sql语句的拼接部分

Codec ORACLE_CODEC = new OracleCodec();

String query ="SELECT user_id FROM user_data WHERE user_name = ‘"+ESAPI.encoder().encodeForSQL(ORACLE_CODEC,req.getParameter("userID"))+"’ and user_password = ‘"+ESAPI.encoder().encodeForSQL(ORACLE_CODEC,req.getParameter("pwd"))+"’";

下面我们就用mysql为例字分析encodeForSQL函数做了什么防御。具体函数过程就不跟踪了,直接分析最后调用了哪个方法。根据代码可知最后调用的是encodeCharacter方法。

public String encodeCharacter( char[] immune, Character c ) {

char ch = c.charValue();

// check for immune characters

if ( containsCharacter( ch, immune ) ) {

return ""+ch;

}

// check for alphanumeric characters

String hex = Codec.getHexForNonAlphanumeric( ch );

if ( hex == null ) {

return ""+ch;

}

switch( mode ) {

case ANSI: return encodeCharacterANSI( c );

case STANDARD: return encodeCharacterMySQL( c );

}

return null;

}

public String encodeCharacter( char[] immune, Character c ) {

char ch = c.charValue();

// check for immune characters

if ( containsCharacter( ch, immune ) ) {

return ""+ch;

}

// check for alphanumeric characters

String hex = Codec.getHexForNonAlphanumeric( ch );

if ( hex == null ) {

return ""+ch;

}

switch( mode ) {

case ANSI: return encodeCharacterANSI( c );

case STANDARD: return encodeCharacterMySQL( c );

}

return null;

}

上述方法中containsCharacter函数是不进行验证的字符串白名单,Codec.getHexForNonAlphanumeric函数查找字符传中是否有16进制,没有返回空值。

而encodeCharacterANSI和encodeCharacterMySQL才是防御的重点,我们看一下这两个函数的不同,如果选择的我们选择是Mode.ANSi模式,则字符串则进入下面的函数,可以看到这个函数对单撇号和双撇号进行了转义。

private String encodeCharacterANSI( Character c ) {

if ( c == '\'' )

return "\'\'";

if ( c == '\"' )

return "";

return ""+c;

}

private String encodeCharacterANSI( Character c ) {

if ( c == '\'' )

return "\'\'";

if ( c == '\"' )

return "";

return ""+c;

}

如果选择的是Mode.STANDARD模式,则字符串则进入下面的函数,可以看到这个函数对单撇号和双撇号、百分号、反斜线等更多的符号进行了转换,所以使用时推荐使用标准模式。

private String encodeCharacterMySQL( Character c ) {

char ch = c.charValue();

if ( ch == 0x00 ) return "\\0";

if ( ch == 0x08 ) return "\\b";

if ( ch == 0x09 ) return "\\t";

if ( ch == 0x0a ) return "\\n";

if ( ch == 0x0d ) return "\\r";

if ( ch == 0x1a ) return "\\Z";

if ( ch == 0x22 ) return "\\\"";

if ( ch == 0x25 ) return "\\%";

if ( ch == 0x27 ) return "\\'";

if ( ch == 0x5c ) return "\\\\";

if ( ch == 0x5f ) return "\\_";

return "\\" + c;

}

private String encodeCharacterMySQL( Character c ) {

char ch = c.charValue();

if ( ch == 0x00 ) return "\\0";

if ( ch == 0x08 ) return "\\b";

if ( ch == 0x09 ) return "\\t";

if ( ch == 0x0a ) return "\\n";

if ( ch == 0x0d ) return "\\r";

if ( ch == 0x1a ) return "\\Z";

if ( ch == 0x22 ) return "\\\"";

if ( ch == 0x25 ) return "\\%";

if ( ch == 0x27 ) return "\\'";

if ( ch == 0x5c ) return "\\\\";

if ( ch == 0x5f ) return "\\_";

return "\\" + c;

}

我们介绍了利用绑定变量和利用esapi两种方式对sql注入进行防御,我的建议是尽量使用绑定变量的是形式进行防注入,安全性能都比较好。

0x02:跨站脚本攻击

关于跨站脚本攻击的防御,我们分析esapi的防御方式。

esapi的防御方式是根据输出点的不同在不同的输出点进行相应的编码。我们看一下使用方法:

xss输出点在html网页中

ESAPI.encoder().encodeForHTML(String input)

xss输出点在html属性中

ESAPI.encoder().encodeForHTMLAttribute(String input)

xss输出点在JavaScript代码中

ESAPI.encoder().encodeForJavaScript(String input)

xss输出点在CSS代码中

ESAPI.encoder().encodeForCSS(String input)

xss输出点在VBScript代码中

ESAPI.encoder().encodeForVBScript(String input)

xss输出点在XPath中

ESAPI.encoder().encodeForXPath(String input)

xss输出点在XML中

ESAPI.encoder().encodeForXML(String input)

xss输出点在XML属性中

ESAPI.encoder().encodeForXMLAttribute(String input)

直接对url进行URL编码

ESAPI.encoder().encodeForURL(String input)

xss输出点在html网页中

ESAPI.encoder().encodeForHTML(String input)

xss输出点在html属性中

ESAPI.encoder().encodeForHTMLAttribute(String input)

xss输出点在JavaScript代码中

ESAPI.encoder().encodeForJavaScript(String input)

xss输出点在CSS代码中

ESAPI.encoder().encodeForCSS(String input)

xss输出点在VBScript代码中

ESAPI.encoder().encodeForVBScript(String input)

xss输出点在XPath中

ESAPI.encoder().encodeForXPath(String input)

xss输出点在XML中

ESAPI.encoder().encodeForXML(String input)

xss输出点在XML属性中

ESAPI.encoder().encodeForXMLAttribute(String input)

直接对url进行URL编码

ESAPI.encoder().encodeForURL(String input)

如果java输出在html页面,使用如下示例的方法即可。

String username = ESAPI.encoder().encodeForHTML(req.getParameter("name"))

String username = ESAPI.encoder().encodeForHTML(req.getParameter("name"))

接下来我们就研究这个方法的具体实现。

public String encodeCharacter( char[] immune, Character c ) {

// check for immune characters

if ( containsCharacter(c, immune ) ) {

return ""+c;

}

// check for alphanumeric characters

String hex = Codec.getHexForNonAlphanumeric(c);

if ( hex == null ) {

return ""+c;

}

// check for illegal characters

//ascii码中的非数字,字符的编码,一般为非打印字符,即不能转换的为uncoide的ascii字符,直接替换成\ufffd,显示的为?

if ( ( c <= 0x1f && c != '\t' && c != '\n' && c != '\r' ) || ( c >= 0x7f && c <= 0x9f ) )

{

hex = REPLACEMENT_HEX;  // Let's entity encode this instead of returning it

c = REPLACEMENT_CHAR;

}

// check if there's a defined entity

//#恶意字符以实体的形式输出

String entityName = (String) characterToEntityMap.get(c);

if (entityName != null) {

return "&" + entityName + ";";

}

// return the hex entity as suggested in the spec,#如果是16进制就转换为html16进制实体字符输出

return "" + hex + ";";

}

public String encodeCharacter( char[] immune, Character c ) {

// check for immune characters

if ( containsCharacter(c, immune ) ) {

return ""+c;

}

// check for alphanumeric characters

String hex = Codec.getHexForNonAlphanumeric(c);

if ( hex == null ) {

return ""+c;

}

// check for illegal characters

//ascii码中的非数字,字符的编码,一般为非打印字符,即不能转换的为uncoide的ascii字符,直接替换成\ufffd,显示的为?

if ( ( c <= 0x1f && c != '\t' && c != '\n' && c != '\r' ) || ( c >= 0x7f && c <= 0x9f ) )

{

hex = REPLACEMENT_HEX; // Let's entity encode this instead of returning it

c = REPLACEMENT_CHAR;

}

// check if there's a defined entity

//#恶意字符以实体的形式输出

String entityName = (String) characterToEntityMap.get(c);

if (entityName != null) {

return "&" + entityName + ";";

}

// return the hex entity as suggested in the spec,#如果是16进制就转换为html16进制实体字符输出

return "" + hex + ";";

}

containsCharacter函数一般定义不需要编码的字符,如果我们不想编码那个字符就可以利用这个函数定义。

Codec.getHexForNonAlphanumeric函数判断是否是数字和字母,如果仅仅是字符和字母就直接返回,不在编码。

剩下的代码是对非数字和字母的字符进行实体编码或者html十六进制字符编码。

如果java输出在js代码页面,使用如下示例的方法即可。

String username = ESAPI.encoder().encodeForJavaScript(req.getParameter("name"))

String username = ESAPI.encoder().encodeForJavaScript(req.getParameter("name"))

我们研究一下encodeForJavaScript方法:

public String encodeCharacter( char[] immune, Character c ) {

// check for immune characters

if ( containsCharacter(c, immune ) ) {

return ""+c;

}

// check for alphanumeric characters

String hex = Codec.getHexForNonAlphanumeric(c);

if ( hex == null ) {

return ""+c;

}

// Do not use these shortcuts as they can be used to break out of a context

// if ( ch == 0x00 ) return "\\0";

// if ( ch == 0x08 ) return "\\b";

// if ( ch == 0x09 ) return "\\t";

// if ( ch == 0x0a ) return "\\n";

// if ( ch == 0x0b ) return "\\v";

// if ( ch == 0x0c ) return "\\f";

// if ( ch == 0x0d ) return "\\r";

// if ( ch == 0x22 ) return "\\\"";

// if ( ch == 0x27 ) return "\\'";

// if ( ch == 0x5c ) return "\\\\";

// encode up to 256 with \\xHH,编码成js十六进制的形式

String temp = Integer.toHexString(c);

if ( c 

String pad = "00".substring(temp.length() );

return "\\x" + pad + temp.toUpperCase();

}

// otherwise encode with \\uHHHH,编码成jsunicode编码格式

String pad = "0000".substring(temp.length() );

return "\\u" + pad + temp.toUpperCase();

}

public String encodeCharacter( char[] immune, Character c ) {

// check for immune characters

if ( containsCharacter(c, immune ) ) {

return ""+c;

}

// check for alphanumeric characters

String hex = Codec.getHexForNonAlphanumeric(c);

if ( hex == null ) {

return ""+c;

}

// Do not use these shortcuts as they can be used to break out of a context

// if ( ch == 0x00 ) return "\\0";

// if ( ch == 0x08 ) return "\\b";

// if ( ch == 0x09 ) return "\\t";

// if ( ch == 0x0a ) return "\\n";

// if ( ch == 0x0b ) return "\\v";

// if ( ch == 0x0c ) return "\\f";

// if ( ch == 0x0d ) return "\\r";

// if ( ch == 0x22 ) return "\\\"";

// if ( ch == 0x27 ) return "\\'";

// if ( ch == 0x5c ) return "\\\\";

// encode up to 256 with \\xHH,编码成js十六进制的形式

String temp = Integer.toHexString(c);

if ( c < 256 ) {

String pad = "00".substring(temp.length() );

return "\\x" + pad + temp.toUpperCase();

}

// otherwise encode with \\uHHHH,编码成jsunicode编码格式

String pad = "0000".substring(temp.length() );

return "\\u" + pad + temp.toUpperCase();

}

恶意字符在js中的编码大家可以看到使用的是js的十六进制编码或者jsunicode编码进行的编码。

其实上面的方法大都是对字符进行html实体编码,html十六进制编码,js十六进制编码,jsunicode的编码和url编码来防止恶意标签的执行。如果感兴趣可以看一下其他的编码方法,原理大致相同就不在一一介绍。

小宋同学冷泡茶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
01_javaweb_javaweb开发_specialdrp_java编程_ArtReviewservlet_
09-30
JAVAweb开发实例,使用Eclipse运行
JdbcTemplate.queryForList(sql)产生的漏洞问题修复
qq_43732387的博客
11-13 3411
JdbcTemplate.queryForList(sql)产生的漏洞问题修复 1、在一些遗留项目使用的是JdbcTemplate.queryForList(sql)语句来查询数据,JdbcTemplate是Spring框架封装的数据库查询工具类,连接池也是安全的。但是在持续集成的时候扫描出了漏洞,一查才发现是String sql 是使用的+=“”来拼接的。这样产生了sql注入的漏洞。 ...
Java开发常见漏洞及解决方案
ZHANGLIZENG的博客
01-11 5112
Java开发常见漏洞及解决方案
第5章 基本语言特性 — 精通MVC 3 框架
Foreach
10-29 2651
Essential Language Features 基本语言特性   C# is a feature-rich language, and not all programmers are familiar with all of the features we will rely on in this book. In this chapter, we are going to look
ESAPI学习笔记
weixin_30487201的博客
12-22 1219
ESAPI是owasp提供的一套API级别的web应用解决方案,本人通过对ESAPI和其提供的demo源码学习发现,关键的不是对其所提供的API的使用,而是其web应用安全防御体系的构建的思想。比如,您不一定要使用ESAPI去实现日志系统,而是应该明白,一套好的日志系统应该是怎么样子的,应具备什么样的特性等。 此外,在引入使用时可能会遇到不少麻烦,所以读者应根据自身...
WEB安全之代码安全----ESAPI
一杯咖啡的渗透记忆
02-20 3435
ESAPI是owasp提供的一套API级别的web应用解决方案。简单的说,ESAPI就是为了编写出更加安全的代码而设计出来的一些API,方便使用者调用,从而方便的编写安全的代码 其官方网站为:https://www.owasp.org/,其有很多针对不同语言的版本,其J2ee的版本需要jre1.5及以上支持 安装篇 第一步:引入Jar Maven <dependency> ...
02_java_javaweb_javaweb开发_java编程_web编程_
10-01
JAVAweb编程实例,帮助你更快的开发网站
Java Web开发实战经典_JavaWeb开发实战_
10-04
Java Web开发实战经典实战,随着互联网的兴起,web技术已经应用的越来越广泛
Java包含常见web漏洞测试项目
12-06
一个包含web常见漏洞的maven 项目。JDK8 +springMVC+JDBC+mybatis+mysql。使用Eclipse导入maven项目,用sql创建数据库和表,修改数据库连接密码。即可运行。有兴趣的可以研究测试。
The value assigned to variable'vect'might be unused
FIll_Mood的博客
04-09 5038
可能一:vect = zeros(M,1);             vect = exp(1i*2*pi*CFO(u)*t);这两句都是对 vect 赋值,有了第二句的赋值后,第一句赋值为0就显得多余了,所以,提示你第一句的赋值可能用不上,你去掉第一句就可以了。另外,这应该只是一个警告可能二:你的嵌套函数的参数也叫T,所以在这些函数的T和主函数的T就不是一回事了。但是主函数又没有明确用到...
Java WEB安全问题及解决方案
天书夜读
11-09 2106
1.弱口令漏洞 解决方案:最好使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码,应存储MD5加密后的密文,由于目前普通的MD5加密已经可以被破解,最好可以多重MD5加密。 2.未使用用户名及密码登录后台可直接输入后台URL登录系统。 解决方案:通过配置filter来过滤掉无效用户的连接请求。 3.JSP页面抛出的异常可能暴露程序信息。有经验的入侵者,可以从JSP程序的
java 对特殊符号的校验,【项目有关问题】怎么校验表单的特殊字符
weixin_34885746的博客
03-12 489
Java code/*** 規範化input,從配置文件取出的屬性取反,例如:配置如下則執行 this.canonicalize(input,true,true);* Encoder.AllowMultipleEncoding=false* Encoder.AllowMixedEncoding=false* @param input 輸入的字符串* @return String* */publ...
Java反序列化漏洞从入门到深入(转载)
07-21 965
前言 学习本系列文章需要的Java基础: 了解Java基础语法及结构(菜鸟教程) 了解Java面向对象编程思想(快速理解请上知乎读故事,深入钻研建议买本《疯狂Java讲义》另外有一个刘意老师的教学视频也可以了解一下,其关于面向对象思想的介绍比较详细。链接:https://pan.baidu.com/s/1kUGb3D1#list/path=%2F&pare...
Java常见漏洞及防护
公众号shadow sock7
05-11 4185
https://tttang.com/archive/1243/ 0x01 任意文件下载(路径穿越) 0x02 任意文件上传
程序员必备基础:10种常见安全漏洞浅析
Java知音
05-10 872
前言我们日常开发,很多小伙伴容易忽视安全漏洞问题,认为只要正常实现业务逻辑就可以了。其实,安全性才是最重要的。本文将跟大家一起学习常见的安全漏洞问题,希望对大家有帮助哈。如果本文有什么错...
与其他语言相比,Java有多安全?
weixin_49794051的博客
10-07 713
与网络安全的其他方面一样,编程语言的安全级别取决于我们所说的“安全”。的确,Java比其他一些常用语言具有更少的已识别漏洞。确实,至少在乍看之下,某些较新的语言似乎比Java更安全。 Java发现的许多安全漏洞是其流行的结果。广泛的使用意味着成千上万的Bug猎手致力于查找Java语言漏洞,这在该领域为Java提供了不公平的“优势”。同样,某些较新语言(例如Ruby)的隐含安全性可能更能反映其特定用途,而不是完整性。 在本文,我们将研究最常用的编程语言在安全性方面的排名。我将解释一些因素,这些因素会使一种
JAVA-WEB常见漏洞】文件访问类
Websec
11-17 2152
本章节将讲解与Java文件或目录访问安全性问题,常见Java文件操作相关的漏洞大致有如下类型: 任意目录遍历 任意文件、目录复制 任意文件读取/下载 任意文件、目录修改/重命名 任意文件、目录删除 ...... 我们通常把这类漏洞归为一个类型,因为产生漏洞的原因都是因为程序对文件或目录访问控制不严、程序内部逻辑错误导致的任意文件或目录恶意访问漏洞。 任意文件读取 任意文件读写漏洞即因为没有验证请求的资源文件是否合法导致的,此类漏洞Java有着较高的几率出现,任意文件读取漏洞原理很...
Web系统安全漏洞JAVA
chenfei2744的博客
04-07 1175
Web系统安全漏洞引言1.代码注入(1)命令注入下面我举个栗子:功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 引言 ...
Java上传图片过滤_解决JavawebFilter过滤图片问题
最新发布
05-31
好的,你的问题是如何解决JavaWeb上传图片时的过滤问题。这个问题其实可以通过在JavaWeb使用Filter来解决。 具体的实现方法如下: 1. 创建一个过滤器类,实现javax.servlet.Filter接口。 2. 在doFilter方法,获取上传文件的文件名,然后判断文件名是否以.jpg、.jpeg、.png、.gif等图片格式结尾。 3. 如果是图片文件,则直接放行,否则就拒绝上传并返回错误信息。 4. 在web.xml文件配置该过滤器。 下面是一个简单的示例代码,仅供参考: ``` import java.io.IOException; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; @WebFilter(filterName = "UploadFilter", urlPatterns = {"/upload/*"}) public class UploadFilter implements Filter { private String[] allowedExt = {".jpg", ".jpeg", ".png", ".gif"}; public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest) req; HttpServletResponse response = (HttpServletResponse) resp; String fileName = request.getHeader("file-name"); if (fileName != null) { for (String ext : allowedExt) { if (fileName.endsWith(ext)) { chain.doFilter(request, response); return; } } } response.sendError(HttpServletResponse.SC_BAD_REQUEST, "只允许上传图片文件"); } public void init(FilterConfig filterConfig) throws ServletException { } public void destroy() { } } ``` 这个过滤器会拦截所有以"/upload/"开头的URL,并检查上传文件名是否以.jpg、.jpeg、.png、.gif等图片格式结尾。如果是图片文件,则直接放行,否则就拒绝上传并返回错误信息。你可以根据实际需求进行修改和优化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值