详解Javaweb中常见漏洞的防御
上一篇给大家介绍了SpringMVC中常见的客户端数据输入点,这一篇给大家讲解下java中常见漏洞的防御方法。
0x01.sql注入
下面我们就用利用SpringMVC自带的数据库操作类jdbcTemplate举例。比如下面Dao中有如下的两个函数。
函数save使用的是绑定变量的形式很好的防止了sql注入,而queryForInt_函数接收id参数直接对sql语句进行了拼接,测试时出现sql注入。
- public static void save(String username,String password) {
- jdbcTemplate.update("insert into test_table(user_name,password) values(?,?)",
- new Object[]{username,password});
- }
- public static int queryForInt_(String id){
- return jdbcTemplate.queryForInt("select count(0) from test_table where id = " + id);
- }
public static void save(String username,String password) {
jdbcTemplate.update("insert into test_table(user_name,password) values(?,?)",
new Object[]{username,password});
} public static int queryForInt_(String id){
return jdbcTemplate.queryForInt("select count(0) from test_table where id = " + id);
}
#为了方便仅仅贴出了DAO层代码
所以,在java代码的开发过程中,我们尽量避免使用拼接sql语句的形式去执行数据库语句。如果需要使用拼接sql语句的形式进行数据库查询,那么OWASP提供了一个防御sql注入的Esapi包,这个包中的encodeForSQL方法能对sql注入进行很好的防御。
接着我们就分析下这个encodeForSQL方法。
首先我们介绍这个方法的使用,使用时调用如下,不同的数据库使用不到的方法。
- //防止Oracle注入
- ESAPI.encoder().encodeForSQL(new OracleCodec(),queryparam)
- //防止mysql注入
- ESAPI.encoder().encodeForSQL(new MySQLCodec(Mode.STANDARD),queryparam) //Mode.STANDARK为标准的防注入方式,mysql一般用使用的是这个方式
- //防止DB2注入
- ESAPI.encoder().encodeForSQL(new DB2Codec(),queryparam)
- //防止Oracle注入的方法例子,为了方便仅仅给出sql语句的拼接部分
- Codec ORACLE_CODEC = new OracleCodec();
- String query ="SELECT user_id FROM user_data WHERE user_name = ‘"+ESAPI.encoder().encodeForSQL(ORACLE_CODEC,req.getParameter("userID"))+"’ and user_password = ‘"+ESAPI.encoder().encodeForSQL(ORACLE_CODEC,req.getParameter("pwd"))+"’";
//防止Oracle注入
ESAPI.encoder().encodeForSQL(new OracleCodec(),queryparam)
//防止mysql注入
ESAPI.encoder().encodeForSQL(new MySQLCodec(Mode.STANDARD),queryparam) //Mode.STANDARK为标准的防注入方式,mysql一般用使用的是这个方式
//防止DB2注入
ESAPI.encoder().encodeForSQL(new DB2Codec(),queryparam) //防止Oracle注入的方法例子,为了方便仅仅给出sql语句的拼接部分
Codec ORACLE_CODEC = new OracleCodec();
String query ="SELECT user_id FROM user_data WHERE user_name = ‘"+ESAPI.encoder().encodeForSQL(ORACLE_CODEC,req.getParameter("userID"))+"’ and user_password = ‘"+ESAPI.encoder().encodeForSQL(ORACLE_CODEC,req.getParameter("pwd"))+"’";
下面我们就用mysql为例字分析encodeForSQL函数做了什么防御。具体函数过程就不跟踪了,直接分析最后调用了哪个方法。根据代码可知最后调用的是encodeCharacter方法。
- public String encodeCharacter( char[] immune, Character c ) {
- char ch = c.charValue();
- // check for immune characters
- if ( containsCharacter( ch, immune ) ) {
- return ""+ch;
- }
- // check for alphanumeric characters
- String hex = Codec.getHexForNonAlphanumeric( ch );
- if ( hex == null ) {
- return ""+ch;
- }
- switch( mode ) {
- case ANSI: return encodeCharacterANSI( c );
- case STANDARD: return encodeCharacterMySQL( c );
- }
- return null;
- }
public String encodeCharacter( char[] immune, Character c ) {
char ch = c.charValue(); // check for immune characters
if ( containsCharacter( ch, immune ) ) {
return ""+ch;
} // check for alphanumeric characters
String hex = Codec.getHexForNonAlphanumeric( ch );
if ( hex == null ) {
return ""+ch;
} switch( mode ) {
case ANSI: return encodeCharacterANSI( c );
case STANDARD: return encodeCharacterMySQL( c );
}
return null;
}
上述方法中containsCharacter函数是不进行验证的字符串白名单,Codec.getHexForNonAlphanumeric函数查找字符传中是否有16进制,没有返回空值。
而encodeCharacterANSI和encodeCharacterMySQL才是防御的重点,我们看一下这两个函数的不同,如果选择的我们选择是Mode.ANSi模式,则字符串则进入下面的函数,可以看到这个函数对单撇号和双撇号进行了转义。
- private String encodeCharacterANSI( Character c ) {
- if ( c == '\'' )
- return "\'\'";
- if ( c == '\"' )
- return "";
- return ""+c;
- }
private String encodeCharacterANSI( Character c ) {
if ( c == '\'' )
return "\'\'";
if ( c == '\"' )
return "";
return ""+c;
}
如果选择的是Mode.STANDARD模式,则字符串则进入下面的函数,可以看到这个函数对单撇号和双撇号、百分号、反斜线等更多的符号进行了转换,所以使用时推荐使用标准模式。
- private String encodeCharacterMySQL( Character c ) {
- char ch = c.charValue();
- if ( ch == 0x00 ) return "\\0";
- if ( ch == 0x08 ) return "\\b";
- if ( ch == 0x09 ) return "\\t";
- if ( ch == 0x0a ) return "\\n";
- if ( ch == 0x0d ) return "\\r";
- if ( ch == 0x1a ) return "\\Z";
- if ( ch == 0x22 ) return "\\\"";
- if ( ch == 0x25 ) return "\\%";
- if ( ch == 0x27 ) return "\\'";
- if ( ch == 0x5c ) return "\\\\";
- if ( ch == 0x5f ) return "\\_";
- return "\\" + c;
- }
private String encodeCharacterMySQL( Character c ) {
char ch = c.charValue();
if ( ch == 0x00 ) return "\\0";
if ( ch == 0x08 ) return "\\b";
if ( ch == 0x09 ) return "\\t";
if ( ch == 0x0a ) return "\\n";
if ( ch == 0x0d ) return "\\r";
if ( ch == 0x1a ) return "\\Z";
if ( ch == 0x22 ) return "\\\"";
if ( ch == 0x25 ) return "\\%";
if ( ch == 0x27 ) return "\\'";
if ( ch == 0x5c ) return "\\\\";
if ( ch == 0x5f ) return "\\_";
return "\\" + c;
}
我们介绍了利用绑定变量和利用esapi两种方式对sql注入进行防御,我的建议是尽量使用绑定变量的是形式进行防注入,安全性能都比较好。
0x02:跨站脚本攻击
关于跨站脚本攻击的防御,我们分析esapi的防御方式。
esapi的防御方式是根据输出点的不同在不同的输出点进行相应的编码。我们看一下使用方法:
- xss输出点在html网页中
- ESAPI.encoder().encodeForHTML(String input)
- xss输出点在html属性中
- ESAPI.encoder().encodeForHTMLAttribute(String input)
- xss输出点在JavaScript代码中
- ESAPI.encoder().encodeForJavaScript(String input)
- xss输出点在CSS代码中
- ESAPI.encoder().encodeForCSS(String input)
- xss输出点在VBScript代码中
- ESAPI.encoder().encodeForVBScript(String input)
- xss输出点在XPath中
- ESAPI.encoder().encodeForXPath(String input)
- xss输出点在XML中
- ESAPI.encoder().encodeForXML(String input)
- xss输出点在XML属性中
- ESAPI.encoder().encodeForXMLAttribute(String input)
- 直接对url进行URL编码
- ESAPI.encoder().encodeForURL(String input)
xss输出点在html网页中
ESAPI.encoder().encodeForHTML(String input)
xss输出点在html属性中
ESAPI.encoder().encodeForHTMLAttribute(String input)
xss输出点在JavaScript代码中
ESAPI.encoder().encodeForJavaScript(String input)
xss输出点在CSS代码中
ESAPI.encoder().encodeForCSS(String input)
xss输出点在VBScript代码中
ESAPI.encoder().encodeForVBScript(String input)
xss输出点在XPath中
ESAPI.encoder().encodeForXPath(String input)
xss输出点在XML中
ESAPI.encoder().encodeForXML(String input)
xss输出点在XML属性中
ESAPI.encoder().encodeForXMLAttribute(String input)
直接对url进行URL编码
ESAPI.encoder().encodeForURL(String input)
如果java输出在html页面,使用如下示例的方法即可。
- String username = ESAPI.encoder().encodeForHTML(req.getParameter("name"))
String username = ESAPI.encoder().encodeForHTML(req.getParameter("name"))
接下来我们就研究这个方法的具体实现。
- public String encodeCharacter( char[] immune, Character c ) {
- // check for immune characters
- if ( containsCharacter(c, immune ) ) {
- return ""+c;
- }
- // check for alphanumeric characters
- String hex = Codec.getHexForNonAlphanumeric(c);
- if ( hex == null ) {
- return ""+c;
- }
- // check for illegal characters
- //ascii码中的非数字,字符的编码,一般为非打印字符,即不能转换的为uncoide的ascii字符,直接替换成\ufffd,显示的为?
- if ( ( c <= 0x1f && c != '\t' && c != '\n' && c != '\r' ) || ( c >= 0x7f && c <= 0x9f ) )
- {
- hex = REPLACEMENT_HEX; // Let's entity encode this instead of returning it
- c = REPLACEMENT_CHAR;
- }
- // check if there's a defined entity
- //#恶意字符以实体的形式输出
- String entityName = (String) characterToEntityMap.get(c);
- if (entityName != null) {
- return "&" + entityName + ";";
- }
- // return the hex entity as suggested in the spec,#如果是16进制就转换为html16进制实体字符输出
- return "&#x" + hex + ";";
- }
public String encodeCharacter( char[] immune, Character c ) { // check for immune characters
if ( containsCharacter(c, immune ) ) {
return ""+c;
} // check for alphanumeric characters
String hex = Codec.getHexForNonAlphanumeric(c);
if ( hex == null ) {
return ""+c;
} // check for illegal characters //ascii码中的非数字,字符的编码,一般为非打印字符,即不能转换的为uncoide的ascii字符,直接替换成\ufffd,显示的为?
if ( ( c <= 0x1f && c != '\t' && c != '\n' && c != '\r' ) || ( c >= 0x7f && c <= 0x9f ) )
{
hex = REPLACEMENT_HEX; // Let's entity encode this instead of returning it
c = REPLACEMENT_CHAR;
} // check if there's a defined entity
//#恶意字符以实体的形式输出
String entityName = (String) characterToEntityMap.get(c);
if (entityName != null) {
return "&" + entityName + ";";
} // return the hex entity as suggested in the spec,#如果是16进制就转换为html16进制实体字符输出
return "&#x" + hex + ";";
}
containsCharacter函数一般定义不需要编码的字符,如果我们不想编码那个字符就可以利用这个函数定义。
Codec.getHexForNonAlphanumeric函数判断是否是数字和字母,如果仅仅是字符和字母就直接返回,不在编码。
剩下的代码是对非数字和字母的字符进行实体编码或者html十六进制字符编码。
如果java输出在js代码页面,使用如下示例的方法即可。
- String username = ESAPI.encoder().encodeForJavaScript(req.getParameter("name"))
String username = ESAPI.encoder().encodeForJavaScript(req.getParameter("name"))
我们研究一下encodeForJavaScript方法:
- public String encodeCharacter( char[] immune, Character c ) {
- // check for immune characters
- if ( containsCharacter(c, immune ) ) {
- return ""+c;
- }
- // check for alphanumeric characters
- String hex = Codec.getHexForNonAlphanumeric(c);
- if ( hex == null ) {
- return ""+c;
- }
- // Do not use these shortcuts as they can be used to break out of a context
- // if ( ch == 0x00 ) return "\\0";
- // if ( ch == 0x08 ) return "\\b";
- // if ( ch == 0x09 ) return "\\t";
- // if ( ch == 0x0a ) return "\\n";
- // if ( ch == 0x0b ) return "\\v";
- // if ( ch == 0x0c ) return "\\f";
- // if ( ch == 0x0d ) return "\\r";
- // if ( ch == 0x22 ) return "\\\"";
- // if ( ch == 0x27 ) return "\\'";
- // if ( ch == 0x5c ) return "\\\\";
- // encode up to 256 with \\xHH,编码成js十六进制的形式
- String temp = Integer.toHexString(c);
- if ( c < 256 ) {
- String pad = "00".substring(temp.length() );
- return "\\x" + pad + temp.toUpperCase();
- }
- // otherwise encode with \\uHHHH,编码成jsunicode编码格式
- String pad = "0000".substring(temp.length() );
- return "\\u" + pad + temp.toUpperCase();
- }
public String encodeCharacter( char[] immune, Character c ) { // check for immune characters
if ( containsCharacter(c, immune ) ) {
return ""+c;
} // check for alphanumeric characters
String hex = Codec.getHexForNonAlphanumeric(c);
if ( hex == null ) {
return ""+c;
} // Do not use these shortcuts as they can be used to break out of a context
// if ( ch == 0x00 ) return "\\0";
// if ( ch == 0x08 ) return "\\b";
// if ( ch == 0x09 ) return "\\t";
// if ( ch == 0x0a ) return "\\n";
// if ( ch == 0x0b ) return "\\v";
// if ( ch == 0x0c ) return "\\f";
// if ( ch == 0x0d ) return "\\r";
// if ( ch == 0x22 ) return "\\\"";
// if ( ch == 0x27 ) return "\\'";
// if ( ch == 0x5c ) return "\\\\"; // encode up to 256 with \\xHH,编码成js十六进制的形式
String temp = Integer.toHexString(c);
if ( c < 256 ) {
String pad = "00".substring(temp.length() );
return "\\x" + pad + temp.toUpperCase();
} // otherwise encode with \\uHHHH,编码成jsunicode编码格式
String pad = "0000".substring(temp.length() );
return "\\u" + pad + temp.toUpperCase();
}
恶意字符在js中的编码大家可以看到使用的是js的十六进制编码或者jsunicode编码进行的编码。
其实上面的方法大都是对字符进行html实体编码,html十六进制编码,js十六进制编码,jsunicode的编码和url编码来防止恶意标签的执行。如果感兴趣可以看一下其他的编码方法,原理大致相同就不在一一介绍。
最新文章
- 基于webmagic的爬虫项目经验小结
- ef操作类
- Yii源码阅读笔记(二十六)
- [WinAPI] API 4 [注册][创建][消息][第一个框架类窗口]
- B2B多商铺初期权限数据库设计
- dns (域名系统)
- Intel Visual Fortran Compiler 11调用lapack库实现并行多处理计算
- h5固定表头公共样式
- Ubuntu安装nodeJS
- iOS多线程GCD 研究
- CentOS系统安全配置
- cf B Bear and Strings
- JDBC中PreparedStatement和Statement的区别
- Unattended Setup Software Components (无人值守安装软件组件)
- socket 通信 入门3 android 客户端 C# 服务端
- Linux系统目录
- mysql加密解密方式用法
- 玩转zookeeper命令
- PAT A1018 Public Bike Management (30 分)——最小路径,溯源,二标尺,DFS
- AngularJS+Node.js+socket.io 开发在线聊天室