Neeke » 信息安全 http://www.ineeke.com 悄悄记录点点滴滴 Sat, 07 Jan 2012 13:04:27 +0000 en hourly 1 http://wordpress.org/?v=3.3.1 Java WEB安全问题及解决方案 http://www.ineeke.com/archives/1335/ http://www.ineeke.com/archives/1335/#comments Fri, 22 Apr 2011 00:44:41 +0000 Neeke http://www.ineeke.com/?p=1335 自己简单总结的,可能还不够完善,日后慢慢补充。

1.弱口令漏洞

解决方案:最好使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码,应存储MD5加密后的密文,由于目前普通的MD5加密已经可以被破解,最好可以多重MD5加密。

2.未使用用户名及密码登录后台可直接输入后台URL登录系统。

解决方案:通过配置filter来过滤掉无效用户的连接请求。

3.JSP页面抛出的异常可能暴露程序信息。有经验的入侵者,可以从JSP程序的异常中获取很多信息,比如程序的部分架构、程序的物理路径、SQL注入爆出来的信息等。

解决方案:自定义一个Exception,将异常信息包装起来不要抛到页面上。

4.合法用户“注销”后,在未关闭浏览器的情况下,点击浏览器“后退”按钮,可从本地页面缓存中读取数据,绕过了服务端filter过滤。

解决方案:配置filter对存放敏感信息的页面限制页面缓存。如:

httpResponse.setHeader("Cache-Control","no-cache"); 
httpResponse.setHeader("Cache-Control","no-store");
httpResponse.setDateHeader("Expires", 0);
httpResponse.setHeader("Pragma","no-cache");

5.SQL注入漏洞。

解决方案:在数据库访问层中不要使用“+”来拼接SQL语句!如:

String sql= “SELECT * FROM USERS WHERE 1=1;
if(null != user.getUserName() && !””.equals(user.getUserName())){
	sql += “ and UNAME = ‘”+user.getUserName()+”’”;
}

而应使用PreparedStatement。如:

PreparedStatement pstmt = con.prepareStatement("SELECT * FROM USERS WHERE UNAME=?");
pstmt.setString(1, “Neeke”);

如果项目中使用了Hibernate框架,则推荐使用named parameter。如:

String queryString = "from Users where uname like :name";

冒号后面是一个named parameter,我们可以使用Query接口将一个参数绑定到name参数上:

List result = session.createQuery(queryString)
                  .setString("name", user.getUserName())
                  .list();

6.文件上传漏洞。前台仅使用JS对文件后缀做了过滤,这只能针对普通的用户,而恶意攻击者完全可以修改表单去掉JS校验。

解决方案:前台JS过滤加服务器端程序过滤。具体过滤掉哪些文件类型视具体情况而定。

7.可执行脚本漏洞。对用户提交的数据未转义,一些用户提交的含有JavaScript脚本的信息被直接输出到页面中从而被浏览器执行。

解决方案:使用org.apache.commons.lang.StringEscapeUtils对用户提交的数据进行转义。如:

@RequestMapping(params="method=addTopic",method=RequestMethod.POST)
public ModelAndView addTopic(HttpServletRequest request, HttpServletResponse response, BbsTopic topic)
{
BaseAdmin user = (BaseAdmin) request.getSession().getAttribute(Constant.SESSION_USER);
topic.setBaseAdmin(user);
topic.setTopicDate(new Timestamp(System.currentTimeMillis()));
topic.setTopicContent(StringEscapeUtils.escapeHtml(topic.getTopicContent()));
topic.setTopicTitle(StringEscapeUtils.escapeHtml(topic.getTopicTitle()));
this.bbsTopicService.save(topic);
return new ModelAndView(new RedirectView("bbs.do?method=topicList&bfid="+ topic.getBfid()));
}

8.Java WEB容器默认配置漏洞。如TOMCAT后台管理漏洞,默认用户名及密码登录后可直接上传war文件获取webshell。

解决方案:最好删除,如需要使用它来管理维护,可更改其默认路径,口令及密码。

]]> http://www.ineeke.com/archives/1335/feed/ 2 来联系我吧 http://www.ineeke.com/archives/1145/ http://www.ineeke.com/archives/1145/#comments Wed, 06 Jan 2010 01:55:25 +0000 Neeke http://www.ineeke.com/?p=1145 经常有人留言问怎么和我取得联系,联系方式是否要公开出来我又犹豫不决,我对于网络个人信息安全很敏感啊,好怕被人社工… n:-gg
网络中到处可以看到(BBS/Blog好像居多)楼下的想联系楼主,但是楼主没留下联系方式,于是乎后面的人就把自己的联系方式公开出来希望能被楼主看到,貌似很正常,可是我觉得很不安全,你所留下的信息是所有人都可以看到的。
我和陌生人聊QQ时经常会先对其调查一番,拿着他的QQ号去百度一下,Google一下,或许就能弄到少信息出来,有的人QQ号和邮箱绑定了,从QQ上得到他的邮箱地址,再去百度一下,Google一下,QQ上的基本资料+交友中心+QQ校友,一下就把什么生日,真实姓名,原籍,现住址,小学在哪上,初中在哪上…全都出来。接着聊天的时候问他名字,他不说,我就自己报出来,感觉神乎其神的,追着我问我是怎么知道的。
哎~传说中的社会工程学。网虫们注意喽~!!
想想还是我留联系方式吧,方便大家交流嘛,况且应该也没有人会来社工我吧?有也不怕O(∩_∩)O哈哈~ n:-hx
点击这里联系我

]]> http://www.ineeke.com/archives/1145/feed/ 9