七个常见的Java应用安全陷阱及应对

更新日期: 2022-04-20阅读: 822标签: Java

Java应用程序已经成为黑客经常攻击的目标,毕竟,它涉及的组件太多:服务器端逻辑、客户端逻辑、数据存储、数据传输、api及其他组件,确保所有组件安全无疑困难重重。实际上,23%的.NET应用程序存在严重漏洞,而44%的Java应用程序存在严重漏洞。

Java应用安全方面的挑战有很多,不过,本文列举了七个较常见的典型安全陷阱,如果企业安全团队意识到Java应用程序中可能存在漏洞,先试着从这几个方面着手开展工作,可能会更容易、更快捷发现并消除问题。

XXE攻击

如果网络攻击者利用可扩展标记语言(XML)解析器读取服务器上的任意文件,会出现这种攻击。随后他们可以部署XML外部实体(XXE),以检索获取用户信息、配置文件甚至云环境的凭证。大多数Java XML解析器默认启用XXE要求,因此企业安全人员应该主动禁用XXE以避免XXE攻击。

不安全的反序列化

在序列化过程中,编程语言中的对象被转换成可以保存到数据库或通过网络传输的格式。反序列化过程中则出现相反的情况,即序列化的对象从文件或网络中读取,因此可以将其转回成对象。然而,黑客会寻找不安全的反序列化漏洞,以便可以操纵序列化对象,发起身份验证绕过、拒绝服务或任意代码执行等攻击。为防止出现这种情况,安全人员需要打上最新补丁,并确保第三方代码符合防御标准,因为许多不安全的反序列化漏洞通过依赖项引入。

远程代码执行

黑客经常在受害者的机器上执行远程代码(RCE),常常通过命令注入漏洞来实现:用户输入直接与系统命令相关联。因为应用程序无法区分用户输入和系统命令,所以会将用户输入作为代码来执行,这让黑客得以在机器上执行任意命令。最有效的对策是列出一份有效的许可名单,这将确保形成稳健的输入验证机制。

SQL注入

笼统地讲,当应用程序无法正确区分不受信任的用户数据和合法/有效代码时,就会出现注入。在操作系统命令中,这会导致命令注入。以结构化查询语言(SQL)注入为例,攻击者注入数据以操纵SQL命令。如果应用程序无法正确验证用户输入,攻击者将会插入为SQL语言指定的字符,以破坏查询逻辑,并执行任意SQL代码。他们可以利用受感染的查询结构来篡改或窃取数据,及/或在操作系统中执行任意命令。为此可以预编译SQL语句,以便严格提供插入到语句来执行的参数(或变量/输入)。

NoSQL注入

NoSQL数据库不使用SQL语言。在NoSQL注入期间,黑客会将数据注入到数据库语言逻辑中,以启用身份验证绕过和RCE。MongoDB、Couchbase、Cassandra、HBase及其他NoSQL数据库容易受到这类攻击。NoSQL查询语法针对特定的数据库,查询常常用应用程序的编程语言来编写。因此,必须采用针对特定数据库的方法来阻止NoSQL注入。

LDAP注入

轻量级目录访问协议(LDAP)使开发人员能够查询有关系统用户和设备的目录服务。但是当应用程序在这些查询中允许不受信任的输入时,黑客可以提交精心设计的输入,以绕过身份验证,并篡改存储在目录中的数据。设置参数化查询在这里同样会起到有效的预防作用。

日志注入

安全团队依靠系统日志来检测网络中的恶意活动。攻击者也意识到这一点,会在攻击期间篡改日志文件以掩饰行踪,通过典型的日志注入,他们可以诱骗应用程序在日志文件中写入虚假条目。比如,攻击者可能会寻找那些不清理写入到日志输入内容中换行符的应用程序,引入自己的换行符,并插入新的应用程序日志条目。或者将恶意html注入到日志条目中,对监管日志的管理员的浏览器发起跨站点脚本(XSS)攻击。

为避免出现这种情况,企业安全人员需要在每个日志条目前加上时间戳、进程ID、主机名及其他形式的元数据,以此区分真实日志条目和虚假日志条目。在采用零信任原则时,应该将日志文件内容视为不受信任的输入,除非输入完全通过了验证,否则不能允许访问和操作。

参考链接:https://sdtimes.com/java/how-to-avoid-the-top-7-java-security-pitfalls/

原文: https://netsecurity.51cto.com/article/707009.html


链接: https://fly63.com/article/detial/11365

采用Java的ServerSocket进行编码一个简单的HTTP服务器

诸如tomcat等web服务器中间件简化了我们web的开发成本,但有时候我们或许并不需要这么一个完备的服务器,只是希望做一个简单地处理或者做特殊用途的服务器。

Spring Boot支持Crontab任务改造

在以往的 Tomcat 项目中,一直习惯用 Ant 打包,使用 build.xml 配置,通过 ant -buildfile 的方式在机器上执行定时任务。虽然 Spring 本身支持定时任务,但都是服务一直运行时支持。

lucene的suggest(搜索提示功能的实现)

首先引入依赖,既然要进行智能联想,那么我们需要为提供联想的数据建立一个联想索引(而不是使用原来的数据索引),既然要建立索引,那么我们需要知道建立索引的数据来源。我们使用一个扩展自InputIterator的类来定义数据来源

HashMap剖析之内部结构

本文是基于Java 8的HashMap进行分析,主要是介绍HashMap中的成员变量和类变量的用途,以及分析HashMap的数据结构。在HashMap中存在多个成员变量和类变量,搞清楚它们的用途有助于我们更深入了解HashMap,下面是它们的介绍:

自定义HttpMessageConverter接受JSON数据

Spring默认使用Jackson处理json数据。实际开发中,在业界中,使用非常受欢迎的fastjson来接受json数据。创建一个项目,在web目录下新建一个assets/js目录,加入jquery和json2的js文件,在lib下加入fastjson的jar文件。

统计两个IP地址之间的IP个数

求两个IP地址之间的IP个数,例如192.18.16.1~192.18.16.5,2001:DB8:0000:0023:0008:0800:200C:417C~2001:DB8:0:23:8:800:200C:417D之间的IP个数?

JSP和JSF之间的区别是什么?

JSP和JSF这两种技术都基于Java,主要用于基于Web的应用程序。那么它们之间有什么区别?下面本篇文章就来给大家简单比较一下JSP和JSF,介绍JSP和JSF之间的区别有哪些,希望对大家有所帮助。

JVM 发生 OOM 的 8 种原因、及解决办法

Java 堆空间:发生频率:5颗星造成原因1、无法在 Java 堆中分配对象 2、吞吐量增加 3、应用程序无意中保存了对象引用,对象无法被 GC 回收 4、应用程序过度使用 finalizer

Java版的7种单例模式

今天看到某一篇文章的一句话 单例DCL 前面加 V 。就这句话让我把 单例模式 又仔细看了一遍。Java 中的 单例模式 是我们一直且经常使用的设计模式之一,大家都很熟悉,所以这篇文章仅仅做我自己记忆。

常问的15个顶级Java多线程面试题

在任何Java面试当中多线程和并发方面的问题都是必不可少的一部分。如果你想获得更多职位,那么你应该准备很多关于多线程的问题。面试官会问面试者很多令人混淆的Java线程问题

点击更多...

内容以共享、参考、研究为目的,不存在任何商业目的。其版权属原作者所有,如有侵权或违规,请与小编联系!情况属实本人将予以删除!