欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

Java - Java开发中的安全编码问题

程序员文章站 2022-04-15 16:27:24
近年来,网络安全越来越受到开发者的重视。关注安全编码能很大程度上避免安全漏洞的产生,也能有效保护用户的利益不被轻易侵犯。本文从6个方面简述了Java安全编码的问题,欢迎交流指正。 ......

1 - 输入校验

编码原则:针对各种语言本身的保留字符,做到数据与代码相分离

1.1 sql 注入防范

严重性高,可能性低。

(1) 参数校验,拦截非法参数(推荐白名单):

public string sanitizeuser(string username) {
    return pattern.matches("[a-za-z0-9_]+", username)
        ? username : "unauthorized user";
}

(2) 使用预编译:

string sql = "update employees set salary = ? where id = ?";
preparedstatement statement = conn.preparestatement(sql);
statement.setbigdecimal(1, 285500.00);
statement.setint(2, 30015800);

1.2 xss防范

严重性中,可能性高。防范方法有:

(1) 输入输出校验(推荐白名单);

(2) org.apache.commons.lang 工具包处理;

(3) 富文本可用 owasp antisampjava html sanitizer 处理;

(4) esapi 处理:

// html 实体
esapi.encoder().encodeforhtml(data);

// html 属性
esapi.encoder().encodeforhtmlattribute(data);

// javascript
esapi.encoder().encodeforjavasceipt(data);

// css 
esapi.encoder().encodeforcss(data);

// url
esapi.encoder().encodeforurl(data);

1.3 代码注入/命令执行防范

严重性高,可能性低。

(1) 参数校验,拦截非法参数(推荐白名单);

(2) 不直接执行用户传入参数:

if("open".equals(request.getparameter("choice"))) {
    runtime.getruntime().exec("your command...");
}

(3) 及时更新升级第三方组件:

比如struts、spring、imagemagick等。

1.4 日志伪造防范

严重性低,可能性高。

(1) 不要log用户可控的信息;

(2) 输入参数校验(推荐白名单):

// 处理回车、换行符
pattern p = pattern.compile("%0a|%0d0a|\n|\r\n");
matcher m = p.matcher(data);
dest = m.replaceall("");

(3) 使用 log4j2。

1.5 xml 外部实体攻击

严重性中,可能性中。

(1) 关闭内联 dtd 解析,使用白名单来控制允许使用的协议;

(2) 禁用外部实体:

documentbuilderfactory factory = documentbuilderfactory.newinstance();
factory.setexpandentityreferences(false);

(3) 过滤用户提交的 xml 数据:

比如 !doctype<!entitysystempublic 等。

1.6 xml 注入防范

严重性中,可能性低。

(1) 教研用户输入(推荐白名单):

outputformat format = outputformat.createprettyprint();

(2) 使用安全的 xml 库(比如 dom4j)。

1.7 url 重定向防范

严重性中,可能性低。

(1) 设置严格白名单几网络边界:

string url = request.getparameter("url");
string host = gethostfromurl(url);
if(!validatehost(host)) {
    return;
}

(2) 加入有效性验证的 token;

(3) referer 适用于检测监控 url 重定向、csrf 等,多数场景下也可用作防范措施。

2 - 异常处理

编码原则:不要泄露详细异常信息。

2.1 敏感信息泄露防范

严重性低,可能性中。

屏蔽敏感信息示例:

catch(ioexception e) {
    system.out.println("invalid file");
    // system.out.println("error code: 0001");
    return;
}

2.2 保持对象一致性

严重性中,可能性低。

(1) 重排逻辑,使得产生异常的代码在改变对象状态的代码之前执行;

catch(exception e) {
    // revert
    money -= padding; 
    return -1;
}

(2) 在出现异常导致操作失败的情况下,使用事务回滚机制;

(3) 在对象的临时拷贝上执行操作,成功后再提交给正式的对象;

(4) 回避修改对象的需求,尽量不去修改对象。

3 - i/o 操作

编码规则:可写的文件不可执行,可执行的文件不可写。

3.1 资源释放

严重性低,可能性高。

java 垃圾回收器回自动释放内存资源,非内存资源需要开发人员手动释放,比如 database,files,sockets,streams,synchronization 等资源的释放。

try {
    connection conn = getconnection();
    statement statement = conn.createstatement();
    resultset resultset = statement.executequery(sqlquery);
    processresults(resultset);
} catch(sqlexception e) {
    // forward to handler
} finally {
    if (null != conn) {
        conn.close();
    }
}

3.2 清除临时文件

严重性中,可能性中。

(1) 自动清除:

file tempfile = files.createtempfile("tempname", ".tmp");
try {
    bufferedwriter writer = files.newbufferedwriter(tempfile.topath(),
            standardcharsets.utf_8, standardopenoption.delete_on_close)
    // operate the file
    writer.newline();
} catch (ioexception e) {
    e.printstacktrace();
}

(2) 手动清除。

3.3 避免将 bufer 暴露给不可信代码

严重性中,可能性中。

wrap、duplicate 创建的 buffer 应该以只读或拷贝的方式返回:

charbuffer buffer;
public duplicator() {
    buffer = charbuffer.allocate(10);
}

/** 获取只读的 buffer */
public charbuffer getbuffercopy() {
    return buffer.asreadonlybuffer();
}

3.4 任意文件下载/路径遍历防范

严重性中,可能性高。

(1) 校验用户可控的参数(推荐白名单);

(2) 文件路径保存到数据库,让用户提交文件对应的 id 去下载文件:

<%
string filepath = getfilepath(request.getparameter("id"));
download(filepath);
%>

(3) 判断目录和文件名:

if(!"/somedir/".equals(filepath) || !"jpg".equals(filetype)) {
    ...
    return -1;
}

(4) 下载文件前做权限判断。

补充:禁止将敏感文件(如日志文件、配置文件、数据库文件等)存放在 web 内容目录下。

3.5 非法文件上传防范

严重性高,可能性中。

在服务器端用白名单方式过滤文件类型,使用随机数改写文件名和文件路径。

if(!esapi.validator().isvalidfilename(
        "upload", filename, allowedextensions, false)) {
    throw new validationuploadexception("upload error");
}

补充:如果使用第三方编辑器,请及时更新版本。

4 - 序列化/反序列化操作

编码原则:不信任原则。

4.1 敏感数据禁止序列化

严重性高,可能性低。

使用 transientserialpersistentfields 标注敏感数据:

private static final objectstreamfield[] serialpersistentfields = {
    new objectstreamfield("name", string.class),
    new objectstreamfield("age", integer.type)
}

当然,正确加密的敏感数据可以序列化。

4.2 正确使用安全管理器

严重性高,可能性低。

如果一个类的构造方法中含有各种安全管理器的检查,在反序列化时也要进行检查:

private void writeobject(objectoutputstream out) throws ioexception {
    performsecuritymanagerchek();
    out.writeobject(xxx);
}

补充:第三方组件造成的反序列化漏洞可通过更新升级组件解决;

禁止 jvm 执行外部命令,可减小序列化漏洞造成的危害。

5 - 运行环境

编码原则:攻击面最小化原则。

5.1 不要禁用字节码验证

严重性中,可能性低。

启用 java 字节码验证:java -xverify:all applicationname

5.2 不要远程调试/监控生产环境的应用

严重性高,可能性低。

(1) 生产环境中安装默认的安全管理器,并且不要使用 -agentlib-xrunjdwp-xdebug 命令行参数:

${java_home}/bin/java -djava.security.manager applicationname

(2) iptables 中关闭相应 jdwp 对外访问的端口。

5.3 生产应用只能有一个入口

严重性中,可能性中。

移除项目中多余的 main 方法。

6 - 业务逻辑

编码原则:安全设计 api。

6.1 用户体系

过程如下:

(1) identification <-- 宣称用户身份(鉴定提供唯一性)
|
|--> (2) authentication <-- 验证用户身份(验证提供有效性)
|
|--> (3) authorization <-- 授权访问相关资源(授权提供访问控制)
|
|--> resource
|
|--> (4) accountability <-- 日志追溯

(1) 身份验证:

严重性高,可能性中。

多因素认证;
暴力破解防范:验证码、短信验证码、密码复杂度校验、锁定账号、锁定终端等;
敏感数据保护:存储、传输、展示(api 接口、html 页面掩码);
禁止本地验证:重要操作均在服务器端进行验证。

(2) 访问控制:

严重性高,可能性中。

从 session 中获取身份信息;
禁用默认账号、匿名账号,限制超级账号的使用;
重要操作做到职责分离;
用户、角色、资源、权限做好相互校验;
权限验证要在服务器端进行;
数据传输阶段做好加密防篡改。

补充:oauth 授权时授权方和应用方都要做好安全控制。

(3) 会话管理:

严重性高,可能性中。

漏洞名称 防御方法
会话 id 中嵌入 url 会话 id 保存在 cookie 中
无 session 验证 所有的访问操作都应基于 session
session 未清除 注销、超时、关闭浏览器时,都要清除 session
session 固定攻击 认证通过后更改 session id
session id 可猜测 使用开发工具中提供的会话管理机制
重放攻击 设置一次失效的随机数,或设置合理的时间窗

补充:设置认证 cookie 时,需加入 secure 和 httponly 属性。

(3) 日志追溯:

严重性中,可能性中。

  • 记录每一个访问敏感数据的请求,或执行敏感操作的事件;
  • 防范日志伪造攻击(输入校验);
  • 任何对日志文件的访问(读、写、下载、删除)尝试都必须被记录。

6.2 在线支付

严重性高,可能性中。

支付数据做签名,并确保签名算法的可靠;

重要参数进行校验,并做有效性验证;

验证订单的唯一性,防止重放攻击。

6.3 顺序执行

严重性高,可能性中。

对每一步的请求都要严格验证,并且要以上一步的执行结果为依据;

给请求参数加入随机 key,贯穿验证的始终。

参考资料

安全编码指南secure coding guidelines for java se
安全编码示例sei cert oracle coding standard for java

版权声明

作者:

出处: 博客园

感谢阅读, 右侧导航栏有「瘦风的南墙」公众号二维码,输出更及时、更体系,欢迎扫码关注