Java（web）项目安全漏洞及解决方式【面试+工作】

admin管理员组

文章数量:1614997

Java（web）项目安全漏洞及解决方式【面试+工作】

一.安全性问题层次关系

大家经常会听到看到很多很多有关安全性方面的信息，可以说形形色色，对于在网络安全方面不太专业的同志来说，有点眼花缭乱，理不出头绪。在这里，我来帮大家整理一下。
　　以我个人多年来从事Web安全方面的工作经验及国外一些权威安全机构对Web安全的层次性的理解，我们通常把它分为三个层次：
１.网络安全。如防火墙、路由器、网络结构等相关的安全问题
２.系统与服务安全。如Window/Linux/Unix系统本身的漏洞或运行于其上的服务的安全，象Apache/OpenSSL/Weblogic等本身的安全性漏洞
３.Web应用程序安全。具体应用程序的安全性漏洞，比如：某网站邮件系统因为存在脚本安全性问题，导致该邮件系统的用户在收到具有恶意代码的邮件时不知不觉的，其密码与帐号信息被人窃取。
　　说到这，大家应该清楚，不管你是在任何地方看到有关计算机安全性问题的方方面面，都逃不出这三大部分，同时我也要向读者声明一下：在这里，我主要是给大家陆续的介绍上述第三部分内容，即Web应用程序安全性相关知识与技能。
　　据权威搜索引擎公司统计数据显示，目前70%以上的网站，或多或少的存在安全隐患，这里的安全隐患指的就是Web应用程序的安全。

     至于网络、系统与服务的安全性问题，我个人认为它的生存周期基本上是：发现->上报软件开发商->打补丁->下载更新程序。作为我们用户，及时的给系统与服务打上最新的补丁，配合一定的防火墙安全策略，是可以基本保证其安全的。

    但是Web应用程序基本上是每个组织各持一套自己的程序，一切问题都必需自己动手去解决，恰恰因为此种特性，才导致目前运行于互联网上的Web应用的安全性普遍存在。为什么呢？因为只有少数组织或个人有能力驾驭网络安全相关的技术与经验，而绝大多数的即使是专业做网站开发的公司也不一定有知识有能力或有意识去考虑安全性问题．
　　还要向读者罗嗦一点是的：安全需要意识，没有安全意识的组织与个人，是无法保证其开发出的产品的安全性的。这一点很重要，很多人只是从媒体上看到听到一些安全性问题，总觉得安全性问题离自己很遥远，其不知安全性问题正在对其造成越来越严重的破坏......。前不久上海有一位朋友，银行卡的资金不明转出，且被人取走，报警后，经警方多方调查跟踪，最络查明：其经常使用网上银行的笔记本电脑中了“灰鸽子”木马，导致其操作电脑的行为及其电脑上的现在资源完全暴露无遗。

     有人要问：“灰鸽子”是如何跑到其计算机上的呢？当然进去的途径有多种，比如我们是网友，我通过ＱＱ发给你让你运行一下；或者我向你推荐一款你比较感兴趣的免费软件，该软件内部已经绑定了“灰鸽子”木马程序......，还有一点很重要的就是通过网页来传播。比如通过脚本注入的方式，强行的不停的提示你下载并运行该程序；通过上传漏洞上传到一个你信任的网站上，当它提示你下载并安装时，你发现它来自你信任的网站，于是就接受了......
　　总之，Web应用程序是我们接触最多最有可能通过带来安全隐患的载体。我将在之后的文章里步步向大家介绍Web应用程序安全性相关的知识、方法与我个人的多年从事web应用程序安全性检测的经验。希望我的努力就是您的需要。

二.安全性问题的本质

相信大家都或多或少的听过关于各种Web应用安全漏洞，诸如:跨site脚本攻击(XSS)，SQL注入，上传漏洞...形形色色.
　　在这里我并不否认各种命名与归类方式，也不评价其命名的合理性与否，我想告诉大家的是，形形色色的安全漏洞中，其实所蕴含安全问题本质往往只有几个。 我个人把Web应用程序安全性本质问题归结以下三个部分：
１.输入／输出验证(Input/output validation)
２.角色验证或认证(Role authentication )
３.所有权验证(Ownership authentication)
　　说到这，读者一定想知道我这三种分类与形形色色的安全性问题有什么关系？下面我逐个给您概略解答：

输入／输出验证
　　这里的输入与输出其实都是发生在用户界面（User Interface）这一个层面上的，比如：你某一站点上提交一份注册信息，往往会收到诸多提示：“用户名非法”，“姓名不能使用英文“......其实这就是输入验证的一个实例。什么情况是输出呢？　比如说你成功提交一份注册信息后，系统会返回一个确认页（Registerred Confirmation），往往在这个页面上会显示你注册时提交的部分或全部信息，那么在这里显示的信息就是我所说的输出实例之一，输入需要做什么验证？　假如你在提交时，在Address那一栏输入：<script>alert("iwebsecurity");</script>, 当你到达注册的确认页时，会有什么发生？如果确认页没有做输出验证处理，那很显然会在到达确认页的时候出现一个Javascript打出的提示框。其实这就是跨site脚本攻击的一个小小的实例。当然了，单纯的输入／输出验证涉及的面可能够写一小本书了，努力在后续文章中给大家详解。

角色验证或认证
　　我们就拿ＣＳＤＮ来说吧，用户有这些角色：其一可以说是游客，就是浏览者没有登录时的角色；其二是免费的注册用户；或许将来ＣＳＤＮ深入发展了，业务有所更新，还会出现收费的注册用户。以上只是用户角色，那在ＣＳＤＮ公司内部还会有管理员角色，还有可能管理员又可以根据板块分为各种不同的角色。大家看到了吧，你天天访问的ＣＳＤＮ一共可能有多少角色？　接下来的问题就是权限问题了，为什么会有角色？　就是为了控制权限的。每种角色都有自己特定的与公共的权限，这些权限的逻辑关系是相当复杂的，如果一个Web应用在角色上没有一个详细的合理的设计，将会给开发人员带来无限痛苦和麻烦。那现在我要问几个问题：你能保证每种角色只能做其份内的事儿？你是如何去保证的呢？方法可靠吗？有没有漏洞？......　这，就是我要说的角色验证或认证。ＢＴＷ：为什么我会说验证或认

本文标签： 安全漏洞方式项目工作Java