Java - Java开发中的安全编码问题

[TOC] # 1 - 输入校验 编码原则：针对各种语言本身的保留字符，做到**数据与代码相分离**。 ## 1.1 SQL 注入防范 严重性高，可能性低。 (1) 参数校验，拦截非法参数（推荐白名单）： ```java public String sanitizeUser(String username) { return Pattern.matches("[A-Za-z0-9_]+", username) ? username : "unauthorized user"; } ``` (2) 使用预编译： ```java String sql = "UPDATE EMPLOYEES SET SALARY = ? WHERE ID = ?"; PreparedStatement statement = conn.prepareStatement(sql); statement.setBigDecimal(1, 285500.00); statement.setInt(2, 30015800); ``` ## 1.2 XSS防范 严重性中，可能性高。防范方法有： (1) 输入输出校验（推荐白名单）； (2) `org.apache.commons.lang` 工具包处理； (3) 富文本可用 `owasp antisamp` 或 `java html sanitizer` 处理； (4) ESAPI 处理： ```java // HTML 实体 ESAPI.encoder().encodeForHTML(data); // HTML 属性 ESAPI.encoder().encodeForHTMLAttribute(data); // JavaScript ESAPI.encoder().encodeForJavaSceipt(data); // CSS ESAPI.encoder().encodeForCSS(data); // URL ESAPI.encoder().encodeForURL(data); ``` ## 1.3 代码注入/命令执行防范 严重性高，可能性低。 (1) 参数校验，拦截非法参数（推荐白名单）； (2) 不直接执行用户传入参数： ```java if("open".equals(request.getParameter("choice"))) { Runtime.getRuntime().exec("your command..."); } ``` (3) 及时更新升级第三方组件： 比如Struts、Spring、ImageMagick等。 ## 1.4 日志伪造防范 严重性低，可能性高。 (1) 不要log用户可控的信息； (2) 输入参数校验（推荐白名单）： ```java // 处理回车、换行符 Pattern p = Pattern.compile("%0a|%0d0a|\n|\r\n"); Matcher m = p.matcher(data); dest = m.replaceAll(""); ``` (3) 使用 Log4j2。 ## 1.5 XML 外部实体攻击 严重性中，可能性中。 (1) 关闭内联 DTD 解析，使用白名单来控制允许使用的协议； (2) 禁用外部实体： ```java DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance(); factory.setExpandEntityReferences(false); ``` (3) 过滤用户提交的 XML 数据： 比如 `!DOCTYPE`、` ``` (3) 判断目录和文件名： ```java if(!"/somedir/".equals(filePath) || !"jpg".equals(fileType)) { ... return -1; } ``` (4) 下载文件前做权限判断。 补充：禁止将敏感文件（如日志文件、配置文件、数据库文件等）存放在 web 内容目录下。 ## 3.5 非法文件上传防范 严重性高，可能性中。 在服务器端用白名单方式过滤文件类型，使用随机数改写文件名和文件路径。 ```java if(!ESAPI.validator().isValidFileName( "upload", filename, allowedExtensions, false)) { throw new ValidationUploadException("upload error"); } ``` 补充：如果使用第三方编辑器，请及时更新版本。 # 4 - 序列化/反序列化操作 编码原则：不信任原则。 ## 4.1 敏感数据禁止序列化 严重性高，可能性低。 使用 `transient`、`serialPersistentFields` 标注敏感数据： ```java private static final ObjectStreamField[] serialPersistentFields = { new ObjectStreamField("name", String.class), new ObjectStreamField("age", Integer.TYPE) } ``` 当然，正确加密的敏感数据可以序列化。 ## 4.2 正确使用安全管理器 严重性高，可能性低。 如果一个类的构造方法中含有各种安全管理器的检查，在反序列化时也要进行检查： ```java private void writeObject(ObjectOutputStream out) throws IOException { performSecurityManagerChek(); out.writeObject(xxx); } ``` 补充：第三方组件造成的反序列化漏洞可通过更新升级组件解决； 禁止 JVM 执行外部命令，可减小序列化漏洞造成的危害。 # 5 - 运行环境 编码原则：攻击面最小化原则。 ## 5.1 不要禁用字节码验证 严重性中，可能性低。 启用 Java 字节码验证：`Java -Xverify:all ApplicationName` ## 5.2 不要远程调试/监控生产环境的应用 严重性高，可能性低。 (1) 生产环境中安装默认的安全管理器，并且不要使用 `-agentlib`，`-Xrunjdwp` 和 `-Xdebug` 命令行参数： ```shell ${JAVA_HOME}/bin/java -Djava.security.manager ApplicationName ``` (2) iptables 中关闭相应 jdwp 对外访问的端口。 ## 5.3 生产应用只能有一个入口 严重性中，可能性中。 移除项目中多余的 `main` 方法。 # 6 - 业务逻辑 编码原则：安全设计 API。 ## 6.1 用户体系 过程如下： (1) identification <-- 宣称用户身份（鉴定提供唯一性） | |--> (2) authentication <-- 验证用户身份（验证提供有效性） | |--> (3) authorization <-- 授权访问相关资源（授权提供访问控制） | |--> RESOURCE | |--> (4) accountability <-- 日志追溯 (1) 身份验证： 严重性高，可能性中。 多因素认证； 暴力破解防范：验证码、短信验证码、密码复杂度校验、锁定账号、锁定终端等； 敏感数据保护：存储、传输、展示（API 接口、HTML 页面掩码）； 禁止本地验证：重要操作均在服务器端进行验证。 (2) 访问控制： 严重性高，可能性中。 从 Session 中获取身份信息； 禁用默认账号、匿名账号，限制超级账号的使用； 重要操作做到职责分离； 用户、角色、资源、权限做好相互校验； 权限验证要在服务器端进行； 数据传输阶段做好加密防篡改。 补充：oauth 授权时授权方和应用方都要做好安全控制。 (3) 会话管理： 严重性高，可能性中。 漏洞名称 | 防御方法 ----------------- | --------- 会话 ID 中嵌入 URL | 会话 ID 保存在 Cookie 中 无 Session 验证 | 所有的访问操作都应基于 Session Session 未清除 | 注销、超时、关闭浏览器时，都要清除 Session Session 固定攻击 | 认证通过后更改 Session ID Session ID 可猜测 | 使用开发工具中提供的会话管理机制 重放攻击 | 设置一次失效的随机数，或设置合理的时间窗 补充：设置认证 Cookie 时，需加入 secure 和 httponly 属性。 (3) 日志追溯： 严重性中，可能性中。 - 记录每一个访问敏感数据的请求，或执行敏感操作的事件； - 防范日志伪造攻击（输入校验）； - 任何对日志文件的访问（读、写、下载、删除）尝试都必须被记录。 ## 6.2 在线支付 严重性高，可能性中。 支付数据做签名，并确保签名算法的可靠； 重要参数进行校验，并做有效性验证； 验证订单的唯一性，防止重放攻击。 ## 6.3 顺序执行 严重性高，可能性中。 对每一步的请求都要严格验证，并且要以上一步的执行结果为依据； 给请求参数加入随机 key，贯穿验证的始终。 > ## 参考资料 > [安全编码指南Secure Coding Guidelines for Java SE ](http://www.oracle.com/technetwork/java/seccodeguide-139067.html) > [安全编码示例SEI CERT Oracle Coding Standard for Java](https://wiki.sei.cmu.edu/confluencehttps://img.qb5200.com/download-x/display/java/SEI+CERT+Oracle+Coding+Standard+for+Java) > ## 版权声明 > > 作者: [瘦风(https://healchow.com)](https://healchow.com) > > 出处: 博客园 [瘦风的博客(https://www.cnblogs.com/shoufeng)](https://www.cnblogs.com/shoufeng) > > **感谢阅读, 右侧导航栏有「瘦风的南墙」公众号二维码，输出更及时、更体系，欢迎扫码关注