马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?立即注册
x
【Java 代码审计入门-03】XSS 毛病原理与实际案例介绍
写在前面
为什么会有这一系列的文章呢?因为我发现网上缺乏成系统的Java代码审计教程,大多是分散的点。对于新人来说,如许的资源大概不敷友好。加上本人也在学习Java审计,希望通过记载和总结本身的学习历程,帮助到更多的人。因此有了本系列的文章。
本系列面向拥有Java基本语法基础的朋友,内容涵盖审计环境介绍、SQL毛病、XSS毛病、SSRF毛病、RCE毛病等原理与实际案例分析。希望这些文章能给你带来劳绩。
目前已完成的内容包括:
- Java 代码审计入门-01:审计前的准备
- Java 代码审计入门-02:SQL毛病原理与实际案例介绍
XSS 毛病原理简介
XSS(跨站脚本攻击)是通过向网页注入可执行代码并成功使欣赏器执行,以达到攻击目的的一种安全毛病。虽然XSS的危害通常不及SQL注入严重,但一次成功的XSS攻击可以实现多种恶意行为,如盗取Cookies、获取用户接洽人列表、截屏、挟制会话等。根据后端代码的不同,XSS分为反射型、存储型以及DOM型。
反射型 XSS
反射型XSS发生在服务器直接将未经适当处理惩罚的用户输入反射回客户端,如果输入中包罗可执行的JavaScript代码,欣赏器就会执行这段代码。例如,在InfoServlet.java文件中,有如下关键代码:
- public void Message(HttpServletRequest req, HttpServletResponse resp) {
- String message = req.getParameter("msg");
- try {
- resp.getWriter().print(message);
- } catch (IOException e) {
- e.printStackTrace();
- }
- }
存储型 XSS
存储型XSS则是指恶意脚本被永世地保存在目的服务器上,比如数据库、消息论坛、访客簿等地方。每当后续用户欣赏了含有恶意脚本的数据时,欣赏器就会执行它。如StoreServlet.java中的代码所示,用户提交的数据未经充分验证就存入了数据库,并在表现时被执行。
- public void StoreXss(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
- String name = req.getParameter("name");
- String mail = req.getParameter("mail");
- String message = req.getParameter("message");
- if(!name.equals(null) && !mail.equals(null) && !message.equals(null)){
- // ... 省略部分代码 ...
- msginfo.MessageInfoStoreService(name, mail, message);
- resp.getWriter().print("<script>alert("添加成功")</script>");
- }
- }
针对XSS毛病,重要的防护步调集中在对输入和输出数据的过滤上。以下是几种常见的防御方法:
- 全局过滤器:可以在整个应用步调层面拦截所有哀求,对每个参数进行清理。
- 输出编码:确保在页面渲染时精确编码输出内容,防止欣赏器错误解析为可执行代码。
- CSP计谋:通过设置Content-Security-Policy HTTP头来限制哪些泉源的脚本可以被执行。
- 框架自带的安全特性:利用当代Web框架提供的内置防护机制,如Spring Security或Thymeleaf模板引擎的自动转义功能。
- 定期更新和检察代码:随着新范例的攻击不断出现,定期检察代码和更新防护步调是必要的。
- 教育和培训:进步开发团队的安全意识,了解常见Web安全问题及其解决方案。
下面是一个简朴的XssHttpServletRequestWrapper类实现,用于全局过滤器中对用户输入进行清理:
- public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
- public XssHttpServletRequestWrapper(HttpServletRequest request) {
- super(request);
- }
- @Override
- public String[] getParameterValues(String parameter) {
- String[] values = super.getParameterValues(parameter);
- if (values == null) {
- return null;
- }
- int count = values.length;
- String[] encodedValues = new String[count];
- for (int i = 0; i < count; i++) {
- encodedValues[i] = stripXSS(values[i]);
- }
- return encodedValues;
- }
- @Override
- public String getParameter(String parameter) {
- String value = super.getParameter(parameter);
- return stripXSS(value);
- }
- @Override
- public Map<String, String[]> getParameterMap() {
- Map<String, String[]> map = new HashMap<>(super.getParameterMap());
- Iterator<Entry<String, String[]>> it = map.entrySet().iterator();
- while (it.hasNext()) {
- Entry<String, String[]> entry = it.next();
- String[] values = entry.getValue();
- for (int i = 0; i < values.length; i++) {
- values[i] = stripXSS(values[i]);
- }
- }
- return map;
- }
- private String stripXSS(String value) {
- if (value != null) {
- value = value.replaceAll("<script>(.*?)</script>", "");
- value = value.replaceAll("</script>", "");
- value = value.replaceAll("<script(.*?)>", "");
- value = value.replaceAll("eval\\((.*?)\\)", "");
- value = value.replaceAll("expression\\((.*?)\\)", "");
- value = value.replaceAll("javascript:", "");
- value = value.replaceAll("vbscript:", "");
- value = value.replaceAll("onload(.*?)=", "");
- value = StringEscapeUtils.escapeHtml4(value); // 需要引入Apache Commons Lang库
- }
- return value;
- }
- }
- <filter>
- <filter-name>XssSafe</filter-name>
- <filter-class>XssFilter</filter-class>
- </filter>
- <filter-mapping>
- <filter-name>XssSafe</filter-name>
- <url-pattern>/*</url-pattern>
- </filter-mapping>
0x04 实际案例分析
为了更好地明白XSS毛病的实际影响,我们将通过一个具体的案例来深入探讨。这个案例基于ofcms-admin项目中的一个SQL注入毛病,但在这里我们会将其扩展为XSS毛病的实例,并展示怎样利用以及修复它。
案例背景
考虑一个典型的Java Web应用步调,其中包罗一个留言板功能。用户可以在前端提交留言,这些留言会被存储到数据库中,并在后续访问时表现给其他用户。然而,由于开发者未能精确处理惩罚用户输入的数据,导致了埋伏的XSS攻击风险。
毛病发现
我们注意到,在StoreServlet.java文件中,存在如下代码:
- public void StoreXss(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
- String name = req.getParameter("name");
- String mail = req.getParameter("mail");
- String message = req.getParameter("message");
- if(!name.equals(null) && !mail.equals(null) && !message.equals(null)){
- MessageInfoService msginfo = new MessageInfoServiceImpl();
- msginfo.MessageInfoStoreService(name, mail, message);
- resp.getWriter().print("<script>alert("添加成功")</script>");
- }
- }
毛病利用
假设攻击者构造了一个特殊的留言内容,例如:
- <script>alert('你已经被XSS');</script>
修复方案
针对上述问题,我们可以接纳以下几种方法进行修复:
- 全局过滤器:正如之前提到的,可以在整个应用层面添加一个全局过滤器,确保所有来自客户端的输入都颠末严酷的清理。
- 输出编码:不仅要在接收端对输入做适当的过滤,还要确保在输出时精确地编码输出内容,避免欣赏器错误解析为可执行代码。
- CSP计谋:设置Content-Security-Policy HTTP头,限制页面只能加载特定泉源的资源,从而淘汰XSS攻击的成功几率。
- 框架自带的安全特性:充分利用当代Web框架提供的内置防护机制,比如Spring Security大概Thymeleaf模板引擎的自动转义功能。
- 定期更新和检察代码:随着新的攻击本领不断涌现,保持代码库的安全性至关重要。定期检查现有代码,并根据最新的安全标准进行必要的调解。
- 教育和培训:提升开发团队的安全意识,让他们了解常见的Web安全问题及其解决方案,进步编写安全代码的能力。
具体来说,对于本案例中的StoreServlet.java,我们需要修改代码以确保所有效户输入的数据都被妥善处理惩罚。以下是改进后的版本:
- public void StoreXss(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
- String name = stripXSS(req.getParameter("name"));
- String mail = stripXSS(req.getParameter("mail"));
- String message = stripXSS(req.getParameter("message"));
- if (!isEmpty(name) && !isEmpty(mail) && !isEmpty(message)) {
- MessageInfoService msginfo = new MessageInfoServiceImpl();
- msginfo.MessageInfoStoreService(name, mail, message);
- resp.getWriter().print("<script>alert("添加成功")</script>");
- }
- }
- private boolean isEmpty(String value) {
- return value == null || value.trim().isEmpty();
- }
- private String stripXSS(String value) {
- if (value != null) {
- // 避免 <script> 标签
- value = value.replaceAll("<script>(.*?)</script>", "");
- // 移除孤立的 </script> 标签
- value = value.replaceAll("</script>", "");
- // 移除孤立的 <script ...> 标签
- value = value.replaceAll("<script(.*?)>", "");
- // 避免 eval(...) 表达式
- value = value.replaceAll("eval\\((.*?)\\)", "");
- // 避免 expression(...) 表达式
- value = value.replaceAll("expression\\((.*?)\\)", "");
- // 避免 javascript:... 表达式
- value = value.replaceAll("javascript:", "");
- // 避免 vbscript:... 表达式
- value = value.replaceAll("vbscript:", "");
- // 避免 onload= 表达式
- value = value.replaceAll("onload(.*?)=", "");
- // HTML实体编码
- value = StringEscapeUtils.escapeHtml4(value); // 需要引入Apache Commons Lang库
- }
- return value;
- }
0x05 总结
本文详细介绍了Java中的XSS毛病原理、实际案例分析及修复方案。希望这能帮助初学者更好地明白和应对这类常见的Web安全问题。通过实施合理的防御步调,我们可以大大低落XSS攻击的风险,保护用户的数据安全。
0x06 其他安全毛病与防御步调
除了XSS攻击之外,Java Web应用步调还大概面临其他范例的安全威胁。为了确保系统的整体安全性,开发者应当熟悉多种常见的Web安全问题及其对应的防护计谋。以下是几种重要的安全毛病以及怎样防范它们的方法:
SQL注入(SQL Injection)
毛病描述:
SQL注入是一种通过构造特殊的输入来操控数据库查询语句的攻击方式。当用户提供的数据未经适当验证就被直接拼接到SQL命令中时,攻击者可以插入恶意的SQL代码,从而执行未经授权的操作,如读取敏感信息、修改或删除数据。
防御步调:
- 使用预编译语句(Prepared Statements):总是使用参数化的查询,而不是字符串拼接的方式构建SQL语句。这可以防止恶意输入被解释为SQL命令的一部门。
- 最小权限原则:为应用步调分配仅限于完成其任务所需的最低数据库权限。即使发生注入攻击,也能限制攻击者的粉碎范围。
- 输入验证和清理:对所有来自用户的输入进行严酷的格式检查,并去除埋伏的伤害字符。
- ORM框架:考虑接纳对象关系映射(ORM)工具,如Hibernate,这些工具通常内置了对SQL注入的防护机制。
- 定期审计代码:定期检察现有代码,查找埋伏的安全隐患,并根据最新的安全标准进行更新。
CSRF(跨站哀求伪造)
毛病描述:
CSRF攻击是指攻击者诱使合法用户在其已认证的Web应用中执行非预期的动作。例如,攻击者可以通过一个精心设计的链接或表单提交,在用户不知情的环境下更改密码或发送消息。
防御步调:
- 同步令牌模式(Synchronizer Token Pattern):在每个表单或其他需要保护的操作中加入唯一的随机令牌,并要求客户端在每次哀求时提供该令牌。服务器端则验证收到的令牌是否匹配当前会话中的预期值。
- 双重Cookie防御:利用Cookies存储令牌,并要求每个哀求携带雷同的令牌作为HTTP头大概URL参数。这种方法实用于无状态API。
- Referer/Origin Header检查:检查HTTP哀求中的Referer或Origin头部,以确认哀求泉源是否合法。
- SameSite Cookie属性:设置Cookies的SameSite属性为Strict或Lax,以阻止欣赏器在跨站点哀求时自动附加Cookies。
文件上传毛病
毛病描述:
如果允许用户上传文件到服务器,而且没有严酷控制上传的内容范例和文件路径,攻击者大概会上传恶意脚本文件,进而执行远程代码或泄漏敏感信息。
防御步调:
- 限制文件范例:只允许特定范例的文件上传,如图片、文档等,并通过MIME范例和文件扩展名双重验证。
- 重命名上传文件:避免使用原始文件名保存上传文件,而是天生唯一标识符作为文件名,防止路径遍历攻击。
- 隔离存储位置:将上传文件存放在独立的目次下,最好是在Web根目次之外,同时配置Web服务器克制访问该目次。
- 扫描上传内容:使用防病毒软件或其他工具扫描上传文件,检测是否存在恶意软件。
- 巨细限制:设定合理的文件巨细上限,防止因过大的文件导致服务器资源耗尽。
序列化毛病
毛病描述:
Java对象序列化是将对象转换成字节流的过程,而反序列化则是相反的过程。如果应用步调担当并处理惩罚了不可信的序列化数据,那么就有大概引入恶意代码,造成远程代码执行等严重效果。
防御步调:
- 禁用不必要的序列化功能:除非绝对必要,否则不要开启任何组件的序列化特性。
- 自定义反序列化逻辑:实现readObject()方法,在反序列化之前先验证传入的数据是否可信。
- 白名单类加载:仅允许特定的、颠末验证的安全类参与序列化/反序列化过程。
- 更新依赖库:保持所有第三方库最新版本,因为许多序列化相关的毛病都是通过修复库中的bug来解决的。
- 监控异常行为:摆设日记记载和告警系统,以便实时发现和响应可疑的序列化运动。
0x07 安全开发最佳实践
为了构建更加安全的Java Web应用步调,除了针对具体毛病接纳相应的防护步调外,还需要遵循一系列的最佳实践:
- 保持依赖库更新:定期检查并升级项目所使用的第三方库,确保它们包罗了最新的安全补丁。
- 加密敏感数据:对于存储在数据库中的密码、信用卡号等敏感信息,应使用强加密算法进行加密。
- 启用HTTPS协议:始终使用SSL/TLS加密通信通道,以保护传输中的数据免受中间人攻击。
- 实施细粒度的权限管理:基于脚色的访问控制(RBAC)可以帮助你精确地定义不同用户群体能够执行哪些操作。
- 记载和监控:创建美满的日记记载机制,并结合实时监控工具,快速识别和响应埋伏的安全事件。
- 教育和培训:连续提升团队成员的安全意识和技术水平,鼓励他们学习最新的安全趋势和技术。
0x08 安全测试与自动化工具
在开发过程中,确保Java Web应用步调的安全不仅依赖于良好的编码实践,还需要借助一系列的安全测试和自动化工具来识别埋伏的风险点。这些工具可以帮助开发者更早地发现毛病,而且在摆设之前修复它们。以下是几种常用的安全测试方法及其对应的工具:
静态应用安全测试(SAST)
概述:
静态分析工具通过扫描未编译的源代码,查找大概存在的安全隐患,如SQL注入、XSS、不安全的加密算法等。这类工具可以在开发周期的早期阶段发现问题,从而淘汰后期修复的成本。
推荐工具:
- FindBugs / SpotBugs:开源的Java缺陷检测工具,能够识别代码中的埋伏问题。
- SonarQube:支持多种编程语言的代码质量管理平台,内置了丰富的规则集用于检测安全性问题。
- Fortify Static Code Analyzer:由Micro Focus提供的贸易级静态分析解决方案,实用于大型企业的复杂项目。
动态应用安全测试(DAST)
概述:
动态分析是在运行时对Web应用步调进行黑盒测试,模仿真实的攻击行为,以检测是否存在可利用的毛病。这种方法不需要访问源代码,因此非常得当评估已上线的应用步调。
推荐工具:
- OWASP ZAP (Zed Attack Proxy):一个易于使用的集成式安全测试工具,提供了自动化的扫描功能以及手动探索界面。
- Burp Suite:广泛应用于排泄测试的专业工具,包括代理服务器、爬虫、扫描器等功能模块。
- Acunetix:提供全面的Web毛病扫描服务,支持自定义扫描计谋并天生详细的报告。
模糊测试(Fuzzing)
概述:
模糊测试是一种通过向目的系统发送随机或变异的数据输入,试图触发异常状态的技术。它特殊得当于发现那些难以预料的界限条件错误,如缓冲区溢出、格式化字符串毛病等。
推荐工具:
- American Fuzzy Lop (AFL):高效的模糊测试框架,常用于二进制文件的毛病挖掘。
- Boofuzz:Python编写的网络协议模糊测试库,易于扩展和定制。
排泄测试
概述:
排泄测试是指模仿黑客攻击的方式对信息系统进行全面检查的过程。它通常由专业的安全顾问执行,旨在验证现有防御步调的有效性,并提出改进建议。
推荐服务:
- HackerOne:众包式的毛病奖励平台,连接企业与全球的安全研究职员。
- Bugcrowd:另一个流行的毛病悬赏社区,帮助企业快速获得高质量的安全反馈。
0x09 连续集成/连续交付(CI/CD)中的安全整合
随着DevOps文化的遍及,越来越多的企业开始接纳CI/CD流水线来加速软件交付流程。然而,在寻求速度的同时,我们也不能忽视安全性的重要性。将安全测试融入到CI/CD管道中,可以实现自动化、标准化的安全保障,确保每一个版本都是安全可靠的。
在CI/CD中加入安全步骤
- 单位测试:编写针对业务逻辑的安全单位测试用例,确保核心功能不受影响。
- 构建时扫描:使用SAST工具在每次构建时自动扫描源代码,实时捕捉新引入的安全隐患。
- 依赖项检查:定期检察项目的依赖关系图,确保所有第三方库都处于最新稳固版,而且没有公开的安全毛病。
- 容器镜像扫描:对于基于容器的应用步调,应该在构建镜像后立即对其进行扫描,防止恶意软件混入生产环境。
- 配置管理:检察基础办法即代码(IaC)模板,包管云资源和服务配置符合安全基线要求。
- 摆设前验证:利用DAST工具对即将发布的候选版本进行全面的功能性和安全性测试,确保其满意预期质量标准。
工具选择
为了有效实施上述安全步骤,可以选择以下几款流行的CI/CD安全插件或服务:
- GitHub Actions:原生支持多种语言的安全工作流创建,方便集成其他安全工具。
- GitLab CI/CD:内置了丰富的安全特性,如秘密检测、依赖扫描、容器扫描等。
- Jenkins:通过安装不同的插件,可以灵活配置各类安全任务,顺应不同规模团队的需求。
0xA 应急响应筹划
只管接纳了各种预防步调,但仍旧无法完全杜绝安全事件的发生。因此,订定美满的应急响应筹划是每个组织不可或缺的一部门。一个好的应急响应流程应当包罗以下几个方面:
- 事件分类与优先级划分:根据受影响范围、严重程度等因素对事件进行初步评估,确定处理惩罚顺序。
- 沟通机制创建:明确内部各部门之间的信息通报渠道,同时准备好对外发布声明的模板。
- 调查取证:收集尽大概多的相关证据,包括日记记载、网络流量、文件快照等,以便后续分析。
- 补救行动执行:迅速接纳必要的技术本领遏制局势发展,比如关闭受感染的服务、修补毛病等。
- 恢复操作:在确保安全的前提下,渐渐恢复正常业务运营,尽量淘汰中断时间。
- 过后总结与改进:过后召开复盘会议,总结经验教导,优化现有的安全计谋和技术架构。
0xB 结语
本文详细介绍了Java Web应用步调中常见的安全毛病范例及其防护步调,并探讨了怎样利用自动化工具和CI/CD管道提升整体安全性。此外,还夸大了应急响应筹划的重要性,以应对不可避免的安全挑战。希望这些内容能为你提供更多关于Java代码审计的知识,并帮助你在实际工作中做出更加明智的选择。
相关工具
当然可以!针对Java Web应用步调的安全开发、测试和维护,以下是几个关键领域的推荐工具:
1. 静态应用安全测试(SAST)
这些工具可以在不运行代码的环境下分析源代码,帮助识别埋伏的安全毛病。
- SonarQube:支持多种编程语言的代码质量管理平台,内置了丰富的规则集用于检测安全性问题。它不仅能找出常见的安全缺陷,还能提供代码质量和规范性的建议。
- Checkmarx CxSAST:一款贸易级静态代码分析工具,专注于发现Web应用中的安全毛病,实用于Java及其他主流语言。
- Fortify Static Code Analyzer:由Micro Focus提供的专业级静态分析解决方案,特殊得当大型企业的复杂项目,能够深度扫描并报告详细的毛病信息。
- SpotBugs (FindBugs 继任者):开源的Java缺陷检测工具,继续了FindBugs的功能,而且连续更新改进,非常得当中小型项目使用。
2. 动态应用安全测试(DAST)
这类工具模仿攻击行为,在应用步调运行时进行黑盒测试,以检测是否存在可利用的毛病。
- OWASP ZAP (Zed Attack Proxy):一个易于使用的集成式安全测试工具,提供了自动化的扫描功能以及手动探索界面。它是免费且开源的,非常得当个人开发者或小型团队使用。
- Burp Suite Professional:广泛应用于排泄测试的专业工具,包括代理服务器、爬虫、扫描器等功能模块。它的社区版是免费的,而专业版则提供了更强大的功能,如自动化攻击向量天生等。
- Acunetix:提供全面的Web毛病扫描服务,支持自定义扫描计谋并天生详细的报告,有助于快速定位和修复安全问题。
3. 模糊测试(Fuzzing)
模糊测试是一种通过发送随机或变异的数据输入来触发异常状态的技术,对于发现界限条件错误非常有效。
- American Fuzzy Lop (AFL):高效的模糊测试框架,常用于二进制文件的毛病挖掘。虽然重要面向C/C++步调,但它也可以间接应用于Java应用的原生组件。
- Boofuzz:Python编写的网络协议模糊测试库,易于扩展和定制,得当对Java应用的服务端接口进行测试。
4. 排泄测试
排泄测试是指模仿黑客攻击的方式对信息系统进行全面检查的过程,确保现有防御步调的有效性。
- HackerOne 和 Bugcrowd:这两个平台都属于众包式的毛病奖励平台,连接企业与全球的安全研究职员。它们允许组织发布毛病悬赏筹划,吸引众多白帽黑客参与测试,从而获得高质量的安全反馈。
5. 连续集成/连续交付(CI/CD)中的安全整合
将安全测试融入到CI/CD管道中,实现自动化、标准化的安全保障,确保每一个版本都是安全可靠的。
- GitHub Actions:原生支持多种语言的安全工作流创建,方便集成其他安全工具。例如,你可以配置Action来定期执行SAST和依赖项检查。
- GitLab CI/CD:内置了丰富的安全特性,如秘密检测、依赖扫描、容器扫描等。它还允许你定义复杂的流水线逻辑,根据需要添加不同的安全步骤。
- Jenkins:通过安装不同的插件,可以灵活配置各类安全任务,顺应不同规模团队的需求。例如,有专门的插件用于执行SAST、DAST、模糊测试等。
6. 依赖管理和毛病管理
确保所使用的第三方库是最新的,而且没有已知的安全毛病。
- Dependabot:GitHub提供的依赖项更新服务,它可以自动为仓库中的依赖文件创建Pull Request,保持依赖项处于最新状态。
- Snyk:一个流行的依赖管理和毛病监控工具,它不仅可以扫描项目中的依赖关系图,还可以提供修复建议,并在CI/CD管道中自动应用补丁。
- OWASP Dependency-Check:开源工具,旨在识别项目中包罗的第三方依赖项是否含有公开披露的安全毛病。
7. 安全配置检察
检察基础办法即代码(IaC)模板,包管云资源和服务配置符合安全基线要求。
- Prowler:AWS环境下的安全审计工具,可以帮助用户评估其账户配置的安全性,遵循最佳实践。
- Terrascan:专门为Terraform IaC脚本设计的安全扫描工具,能识别不符合安全标准的资源配置。
- CloudSploit:跨多个公有云提供商的安全评估工具,提供关于怎样加强云环境中各种服务设置的指导。
通过以上步调,你可以有效地减轻XSS攻击的风险,保护用户的数据安全。希望这篇文章对你有所帮助!
原文链接:点击这里检察原文
注:本文为原创内容,转载需注明出处。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
