java開(kāi)發(fā)常見(jiàn)漏洞及處理說(shuō)明

1、 Java常見(jiàn)漏洞及處理說(shuō)明楊博本文專(zhuān)門(mén)介紹針對(duì)java web程序常見(jiàn)高危安全漏洞（如：SQL注入 、 XSS跨站腳本攻擊、文件上傳）的過(guò)濾和攔截處理，確保系統(tǒng)能夠安全的運(yùn)行。1 SQL注入（SQL Injection）經(jīng)分析確認(rèn)本系統(tǒng)對(duì)SQL 注入做了相應(yīng)的過(guò)濾處理，可以有效應(yīng)對(duì)SQL注入攻擊，確保系統(tǒng)安全。詳細(xì)說(shuō)明：攻擊方式：所謂SQL注入式攻擊，就是的輸入域或頁(yè)面請(qǐng)求的查詢(xún)字符串，欺騙服務(wù)器執(zhí)行惡意的SQL命令。防御方式：對(duì)用戶(hù)輸入或請(qǐng)求進(jìn)行預(yù)驗(yàn)證處理，過(guò)濾掉可能造成惡意SQL的字符。本系統(tǒng)屬于政府部門(mén)門(mén)戶(hù)網(wǎng)站，用戶(hù)發(fā)布的是新聞動(dòng)態(tài)，不會(huì)涉及到學(xué)術(shù)研究SQL方面的東西，所以本系統(tǒng)采用過(guò)

2、濾器的方式對(duì)用戶(hù)輸入或請(qǐng)求進(jìn)行過(guò)濾處理，如果輸入或請(qǐng)求涉及惡意SQL方面的字符將一律過(guò)濾掉，這不會(huì)影響用戶(hù)的使用，同時(shí)確保了系統(tǒng)的安全。系統(tǒng)配置文件web.xml初始化時(shí)同時(shí)初始化過(guò)濾器，過(guò)濾器起到全局作用，并設(shè)置為針對(duì)所有請(qǐng)求。過(guò)濾器AntiSqlInjectionfilter:2 XSS攻擊（DOM XSS、Stored XSS、Reflected XSS）經(jīng)確認(rèn)本系統(tǒng)已對(duì)XSS攻擊做了攔截及過(guò)濾處理，達(dá)到了有效對(duì)抗XSS攻擊的效果，確保系統(tǒng)的安全。詳細(xì)說(shuō)明：攻擊方式：XSS又稱(chēng)CSS，全稱(chēng)Cross SiteScript，跨站腳本攻擊，是Web程序中常見(jiàn)的漏洞，XSS屬于被動(dòng)式且用于客戶(hù)

3、端的攻擊方式，所以容易被忽略其危害性。其原理是攻擊者向有XSS漏洞的網(wǎng)站中輸入(傳入)惡意的HTML代碼，當(dāng)其它用戶(hù)瀏覽該網(wǎng)站時(shí)，這段HTML代碼會(huì)自動(dòng)執(zhí)行，從而達(dá)到攻擊的目的。如，盜取用戶(hù)Cookie、破壞頁(yè)面結(jié)構(gòu)、重定向到其它網(wǎng)站等。防御方式：需要對(duì)用戶(hù)的輸入進(jìn)行處理，只允許輸入合法的值，其它值一概過(guò)濾掉。本系統(tǒng)提供了專(zhuān)門(mén)的針對(duì)XSS攻擊的過(guò)濾器，過(guò)濾掉了html/javaScript中的標(biāo)簽符號(hào)，防止惡意HTML代碼。系統(tǒng)配置文件web.xml初始化時(shí)同時(shí)初始化過(guò)濾器，過(guò)濾器起到全局作用，并設(shè)置為針對(duì)所有請(qǐng)求。點(diǎn)擊進(jìn)入過(guò)濾器類(lèi)XssFilter：針對(duì)HttpRequest請(qǐng)求3 Unnormalize Input String經(jīng)分析確認(rèn)此漏洞主要是文件上傳輸入路徑漏洞，系統(tǒng)已有專(zhuān)門(mén)針對(duì)文件上傳文件類(lèi)型格式的過(guò)濾器，確保上傳文件的安全，有效防止了系統(tǒng)受到攻擊。詳細(xì)說(shuō)明：攻擊方式：上傳具有可執(zhí)行性的程序代碼文件，如：HTML、JSP等文件對(duì)系統(tǒng)進(jìn)行修改或盜取用戶(hù)信息。防御方式：1.文件類(lèi)型驗(yàn)證過(guò)濾，防止上傳可執(zhí)行程序文件2.使用隨機(jī)數(shù)改寫(xiě)文件名和文件路徑，使得用戶(hù)不能輕易訪(fǎng)問(wèn)自己上傳的文件本系統(tǒng)提供了專(zhuān)門(mén)的過(guò)濾器，過(guò)濾掉