一文详解应用安全防护ESAPI

立山  金牌会员 | 2024-4-24 19:24:11 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题

主题 700|帖子 700|积分 2100

本文分享自华为云社区《应用安全防护ESAPI》,作者: Uncle_Tom。
1. ESAPI 简介

OWASP Enterprise Security API (ESAPI)是一个免费、开源的web应用程序安全控制库,使程序员更容易编写风险较低的应用程序。ESAPI库旨在使程序员更容易对现有应用程序进行安全性改造。ESAPI库也是新开发的坚实基础。
考虑到特定语言的差异,所有OWASP ESAPI版本都有相同的基本设计:

  • 有一组安全控制接口。例如,定义了传递给安全控件类型的参数类型。
  • 每个安全控制都有一个参考实现。例如:基于字符串的输入验证。例如,Java 的 org.owasp.ESAPI.reference.FileBasedAuthenticator 的 ESAPI,而其他参考实现则是成熟的企业级参考实现,例如,org.oasp.ESAPI.reference.DefaultEncoder 或 org.owasp.ESAPI.reference.DefaultValidator。
  • 每个安全控件都有自己的实现(可选)。这些类中可能包含应用程序逻辑,这些逻辑可能由您的组织开发或为您的组织而开发。例如:企业身份验证。
  • 为使本项目尽可能易于传播并使更多人能够自由自用,本项目的源代码使用了 BSD 许可证。本项目的文档使用了知识共享署名许可证。你可以随意使用、修改ESAPI,甚至将它包含在商业产品中。
2. ESAPI 框架

OWASP ESAPI 已经实现下面安全控件

  • 身份认证
  • 访问控制
  • 输入验证
  • 输出编码/转义
  • 密码
  • 错误处理和日志
  • 通信安全
  • HTTP 安全
  • 安全配置
ESAPI 框架

ESAPI 覆盖的OWASP Top 10

3. ESAPI 的使用

3.1. ESAPI 在 pom.xml 中的配置

目前最新的版本是: 2.5.3.1, 可以直接在Maven 库中找到。
  1. <dependency>
  2.   <groupId>org.owasp.esapi</groupId>
  3.   <artifactId>esapi</artifactId>
  4.   <version>2.5.3.1</version>
  5.   <exclusions>
  6.     <exclusion>
  7.       <groupId>org.slf4j</groupId>
  8.       <artifactId>slf4j-api</artifactId>
  9.     </exclusion>
  10.   </exclusions>
  11. </dependency>
  12. <dependency>
  13.   <groupId>javax.servlet</groupId>
  14.   <artifactId>javax.servlet-api</artifactId>
  15.   <version>3.1.0</version>
  16.   <scope>provided</scope>
  17. </dependency>
复制代码
3.2. 注入类问题的防护

网络安全问题很大一部分是由于注入类问题造成的。这类问题主要是由于对外部输入使用的过程中转码不当造成的,例如:SQL 注入、命令注入、跨站脚本等等。

Encode(编码器接口)包含了许多解码输入和编码输出的方法,这样处理过的字符对于各种解释器都是安全的。
3.2.1. 防护:XSS 跨站脚本攻击

HTML编码器(encodeForHTML)
  1. @Test
  2. void testEncodeForHTML() {
  3.     String input = "<a target="_blank" href='https://www.cnblogs.com/sdfs'></a> < script > alert('xss'); </ script >";
  4.     String encodedString = ESAPI.encoder().encodeForHTML(input);
  5.     LOG.info("EncodeForHTML: {}", encodedString);
  6. }
复制代码
输出:
  1. EncodeForHTML: <a href=&#x27;xss&#x27;></a> < script > alert(&#x27;xss&#x27;); </ script >
复制代码
URL编码器(encodeForURL)
  1. @Test
  2. void testEncodeForURL() {
  3.     String input = "/?callback=";
  4.     String encodedString;
  5.     try {
  6.         encodedString = ESAPI.encoder().encodeForURL(input);
  7.         LOG.info("EncodeForURL: {}", encodedString);
  8.     } catch (EncodingException e) {
  9.         fail("Should not get exception:" + e.getMessage());
  10.     }
  11. }
复制代码
输出:
  1. EncodeForURL: %2F%3Fcallback%3D%3Cscript%3Ealert%28%27xss%27%29%3C%2Fscript%3E
复制代码
3.2.2. 防护:SQL 注入
  1. @Test
  2. void testEncodeForSQL() {
  3.     String userId = "tom' or '1=1'";
  4.     String sql = "select * from user where user='"
  5.             + ESAPI.encoder().encodeForSQL(new MySQLCodec(MySQLCodec.Mode.STANDARD), userId) + "'";
  6.     LOG.info("sql = {}", sql);
  7. }
复制代码
输出:
  1. sql = select * from user where user='tom\' or \'1\=1\''
复制代码
3.2.3. 防护:命令注入
  1. @Test
  2. void testEncodeForOS() {
  3.     String input = "dir & dir /s";
  4.     String cmd = ESAPI.encoder().encodeForOS(new WindowsCodec(), input);
  5.     LOG.info("cmd = {}", cmd);
  6. }
复制代码
输出:
  1. cmd = dir^ ^&^ dir^ ^/s
复制代码
3.3. 输入校验问题的防护

网络安全最大的威胁是外部输入,所以对外部输入的校验对应用安全起着最大的防护作用。

3.3.1. ESAPI的输入校验

ESAPI有一个输入校验配置: validation.properties 给出了常用的校验。
validation.properties
  1. Validator.SafeString=^[.\\p{Alnum}\\p{Space}]{0,1024}$
  2. Validator.Email=^[A-Za-z0-9._%'-]+@[A-Za-z0-9.-]+\\.[a-zA-Z]{2,4}$
  3. Validator.IPAddress=^(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\\.){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)$
  4. Validator.URL=^(ht|f)tp(s?)\\:\\/\\/[0-9a-zA-Z]([-.\\w]*[0-9a-zA-Z])*(:(0-9)*)*(\\/?)([a-zA-Z0-9\\-\\.\\?\\,\\:\\'\\/\\\\\\+=&;%\\$#_]*)?$
  5. Validator.CreditCard=^(\\d{4}[- ]?){3}\\d{4}$
  6. Validator.SSN=^(?!000)([0-6]\\d{2}|7([0-6]\\d|7[012]))([ -]?)(?!00)\\d\\d\\3(?!0000)\\d{4}$
复制代码
校验接口
  1. /**
  2.   * 输入校验
  3.   *
  4.   * @param context 校验内容
  5.   * @param input 校验输入  
  6.   * @param type 校验类型,对应到 validation.properties 中的类型
  7.   * @param maxLength 输入字符最大长度校验
  8.   * @param allowNull 输入字符Null值校验,false - 不允许;true - 允许
  9.   * @return 校验失败返回 false,校验成功返回 true
  10.   */
  11. boolean ESAPI.validator().getValidInput(String context, String input, String type, int maxLength, boolean allowNull);
  12. @Test
  13. void testValidatorEmail() {
  14.     String input = "xxxx.com";
  15.     if (!ESAPI.validator().isValidInput("", input, "Email", 11, false)) {
  16.         LOG.error("Email validate fail!");
  17.     } else {
  18.         LOG.info("Email is validate.");
  19.     }
  20. }
复制代码
输出:
  1. Email validate fail!
复制代码
4. ESAPI 使用和升级过程中常遇到的问题

4.1. ExceptionInInitializerError 造成的 org.owasp.esapi.reference.DefaultEncoder CTOR threw exception
  1. org.owasp.esapi.errors.ConfigurationException: java.lang.reflect.InvocationTargetException Encoder class (org.owasp.esapi.reference.DefaultEncoder) CTOR threw exception.
  2. at org.owasp.esapi.util.ObjFactory.make(ObjFactory.java:129)
  3. at org.owasp.esapi.ESAPI.encoder(ESAPI.java:101)
  4. at com.test.esapi.EsapiTest.testUpdateJulietInfo_good(EsapiTest.java:19)
  5. at java.base/java.util.ArrayList.forEach(ArrayList.java:1511)
  6. at java.base/java.util.ArrayList.forEach(ArrayList.java:1511)
  7. Caused by: java.lang.reflect.InvocationTargetException
  8. at org.owasp.esapi.util.ObjFactory.make(ObjFactory.java:86)
  9. ... 71 more
  10. Caused by: java.lang.ExceptionInInitializerError
  11. at java.base/java.lang.Class.forName0(Native Method)
  12. at java.base/java.lang.Class.forName(Class.java:375)
  13. at org.owasp.esapi.util.ObjFactory.loadClassByStringName(ObjFactory.java:158)
  14. at org.owasp.esapi.util.ObjFactory.make(ObjFactory.java:81)
  15. at org.owasp.esapi.ESAPI.logFactory(ESAPI.java:139)
  16. at org.owasp.esapi.ESAPI.getLogger(ESAPI.java:155)
  17. at org.owasp.esapi.reference.DefaultEncoder.(DefaultEncoder.java:85)
  18. at org.owasp.esapi.reference.DefaultEncoder.(DefaultEncoder.java:109)
  19. at org.owasp.esapi.reference.DefaultEncoder.getInstance(DefaultEncoder.java:68)
  20. ... 76 more
  21. Caused by: org.owasp.esapi.errors.ConfigurationException: Unable to locate resource: esapi-java-logging.properties
  22. at org.owasp.esapi.logging.java.JavaLogFactory.readLoggerConfiguration(JavaLogFactory.java:128)
  23. at org.owasp.esapi.logging.java.JavaLogFactory.(JavaLogFactory.java:96)
  24. ... 85 more
复制代码
这个是 ESAPI 升级到 2.5.0.0 之后的版本时,最常碰到的问题。
2.5.0.0 是 ESAPI 一个重要的变动版本,我们从版本变更信息中可以看到:

  • 此版本 ESAPI 全面放弃了被 Log4J 不断的漏洞困扰的 Log4J 的支持,转而使用 SLF4J。如果您的 ESAPI.Logger 属性设置为使用 Log4J,如果不更改它,将引发模糊的 Exceptions 或 Errors,通常为 ExceptionInInitializerError。
  • 对 AntiSamy 升级到了 1.7.0,并支持了 AntiSamy 自定义的 AntiSamy-sapi.xml 文件。
  • 从上一个版本开始,此版本仅支持 Java 8 或更高版本。
从这里可以看到 ExceptionInInitializerError 应该是变更日志组件造成的,熟悉的朋友会立刻想到 ESAPI 的配置文件 ESAPI.properties 里面给出所有组件的配置。

从图中 69 到 72 行可以看到,69 行的:
  1. ESAPI.Logger=org.owasp.esapi.logging.java.JavaLogFactory
复制代码
还是指向 org.owasp.esapi.logging.java.JavaLogFactory, 后面的注释也提醒我们需要修改成 71 行的:
  1. ESAPI.Logger=org.owasp.esapi.logging.slf4j.Slf4JLogFactory
复制代码
修改后问题解决。
4.2. java.lang.NoClassDefFoundError: javax/servlet/http/HttpServletRequest
  1. java.lang.NoClassDefFoundError: javax/servlet/http/HttpServletRequest
  2. at java.base/java.lang.Class.getDeclaredMethods0(Native Method)
  3. at java.base/java.lang.Class.privateGetDeclaredMethods(Class.java:3402)
  4. at java.base/java.lang.Class.getMethodsRecursive(Class.java:3543)
  5. at java.base/java.lang.Class.getMethod0(Class.java:3529)
  6. at java.base/java.lang.Class.getMethod(Class.java:2225)
  7. at org.owasp.esapi.util.ObjFactory.loadMethodByStringName(ObjFactory.java:196)
  8. at org.owasp.esapi.util.ObjFactory.findSingletonCreateMethod(ObjFactory.java:173)
  9. at org.owasp.esapi.util.ObjFactory.make(ObjFactory.java:84)
  10. at org.owasp.esapi.ESAPI.validator(ESAPI.java:192)
  11. at com.huawei.hwe.esapi.EsapiTest.testEsapi_encodeForURL(EsapiTest.java:23)
  12. at java.base/java.util.ArrayList.forEach(ArrayList.java:1511)
  13. at java.base/java.util.ArrayList.forEach(ArrayList.java:1511)
  14. Caused by: java.lang.ClassNotFoundException: javax.servlet.http.HttpServletRequest
  15. at java.base/jdk.internal.loader.BuiltinClassLoader.loadClass(BuiltinClassLoader.java:641)
  16. at java.base/jdk.internal.loader.ClassLoaders$AppClassLoader.loadClass(ClassLoaders.java:188)
  17. at java.base/java.lang.ClassLoader.loadClass(ClassLoader.java:525)
  18. ... 79 more
复制代码
这个问题明显是缺少了依赖库。我们可以查看 Maven 库关于 ESAPI 的定义和依赖信息。
https://mvnrepository.com/artifact/org.owasp.esapi/esapi/2.5.3.1

编译依赖

运行依赖

从运行依赖可以看到需要:javax.servlet » javax.servlet-api
点开后面的版本号:3.1.0,就可以得到 javax.servlet-api 3.1.0 的 mvn 依赖配置,将这个配置加到工程的 pom.xml 文件中就可以了。
在 pom.xml 中加入 javax.servlet-api 配置后,问题解决。
  1. <dependency>
  2.     <groupId>javax.servlet</groupId>
  3.     <artifactId>javax.servlet-api</artifactId>
  4.     <version>3.1.0</version>
  5.     <scope>provided</scope>
  6. </dependency>
复制代码
点击关注,第一时间了解华为云新鲜技术~

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览

快速回复

您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

立山

金牌会员
这个人很懒什么都没写!

标签云

快速回复 返回顶部 返回列表