如何安全檢測Java Web應用網站漏洞

如何安全檢測Java?Web應用網站漏洞.txt32因為愛心，流浪的人們才能重返家園；因為愛心，疲憊的靈魂才能活力如初?？释麗坌?，如同星光渴望彼此輝映；渴望愛心，如同世紀之歌渴望永遠被唱下去。web開發應用程序（網站），是目前應用最廣泛的程序。但是開發者的水平參差不齊，導致了各種各樣web漏洞的出現。本文站在分層架構的角度，分析一下如何在java?web程序中找到可能出現的種種漏洞。??? ????????本文討論的只是web程序上的漏洞，和其它漏洞，是相對獨立的。這句話看似廢話，實際上卻說明了時常被忽略的因素，即：“很多人認為只要我開發web程序沒有漏洞，web服務器就安全了”，事實上，并非如此。一個合格的web程序開發人員，應該時刻清楚自己開發的程序會在什么環境中被使用，以及一旦自己的程序產生某種漏洞，最終會導致什么后果。簡單的說，web程序被安裝在一臺或多臺（分布式）web服務器上，一旦安裝成功，就等于在為廣大用戶提供服務的同時，給入侵者打開了一條或N條新的思路。如果服務器管理員剛好對安全配置不了解（事實上，國內這種管理員居多），那么只好由我們的程序來守好最后的關卡最后一道防線。??? ????????看了本文題目，一定有一部分人會認為，“不就是講JSP漏洞么，用得著披著這么厚的包裝么？”，為了回答這個疑問，我們先看看JSP和ASP的開發有什么不同吧。在ASP時代（ASP，PHP等語言），開發一套系統往往比修改別人已經寫好的系統痛苦的多，因為它們把所有的代碼（包括鏈接數據庫的代碼、執行SQL語句的代碼、控制頁面顯示的代碼）統統都放在%......%中，我們時常會看到如下代碼塊：??? ????-----------代碼來自某ASP?SHELL-----------??????Function?GetFileSize(size)??????Dim?FileSize?? ????FileSize=size?/?1024?? ????FileSize=FormatNumber(FileSize,2)?? ????If?FileSize??1024?and?FileSize??1?then?? ????GetFileSize="font?color=red"?FileSize??"/font?KB"??????ElseIf?FileSize?1024?then?? ????GetFileSize="font?color=red"?FormatNumber(FileSize?/?1024,2)??"/font?MB"??????Else?? ????GetFileSize="font?color=red"?Size??"/font?Bytes"??????End?If?? ????End?Function?? ????----------------------------------------?????? ????????如果客戶的需求變了，要求頁面不能使用“font?color=red”等標簽，全部應用“CSS”顯示。掛了，把程序員召喚出來，一個一個的改吧。。。注意，這里強調下，特指“召喚程序員”才能改，如果是學美工的，只會HTML、JS、CSS，完了，這活還干不成。而這些只是簡單的頁面修改，如果客戶今天說，MYSQL服務器承擔不了這個數據量，要掛Oracle，可憐的程序員就要在一片一片的代碼海洋里尋找執行SQL語句的代碼，而每一個文件都可能存放著SQL語句，意味著每一個文件都可能在受SQL注入的威脅。??

創新互聯-專業網站定制、快速模板網站建設、高性價比茶陵網站開發、企業建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式茶陵網站制作公司更省心,省錢,快速模板網站建設找我們，業務覆蓋茶陵地區。費用合理售后完善，十年實體公司更值得信賴。

而JSP采用MVC模式分層架構進行開發，就可以把所有的文件分開，根據其用途，分別放在不同的文件夾下（分層），每個文件夾下的文件只負責自己的事情。例如數據訪問層的代碼就放在數據訪問層的文件夾下，業務邏輯層的代碼也都放在自己的文件夾下，當顯示層（這一層是為了把最終的運算結果顯示給用戶看）的需求發生變化，就像前面的客戶需求，我們只要修改這一層的文件就是了，其他層的代碼根本不需要動，而修改者也不需要懂得其它層的代碼。??? ????代碼分層了，意味著漏洞也在跟著分層，我們尋找JSP漏洞的思路也要跟著分層，才能與時俱進。??? ????????下面在講述尋找漏洞的過程中，本文就拿一個簡單的分層架構例子來做樣板。樣板程序的名稱為“XX文章系統”，系統使用了STRUTS框架，和安全有關的層分為：??? ?????“DB層”，這一層存放了鏈接數據庫的字符串，以及JdbcTemplate類，直接訪問數據庫。因為在java中，執行SQL語句的函數按照返回值可以分為三類，所以在這一層定義了JDBC模版類（JdbcTemplate），每一次使用操作數據庫時都要執行這一層的三個方法其中一個。??? ????“DAO層（Data?Access?Object數據訪問對象層）”，從安全角度上看，這一層存放了SQL語句（并不執行SQL語句，語句傳給DB層執行）。這一層調用“DB層”訪問數據庫，它只知道“DB層”的存在，不知道數據庫的存在。??? ????“SERVICE層”，業務邏輯層，因為一個業務的實現，并不是一次數據庫訪問就可以完成的，所以這一層通過N次調用“DAO層的方法”實現業務邏輯，它只知道“DAO層”的存在，不知道“DB層”和數據庫的存在。??“ACTION層”，調用業務邏輯層，根據返回的結果，控制JSP頁面顯示。它只知道業務層的存在。這一層是入侵者的攻擊平臺。??? ????“Form層”，把用戶POST提交的信息封裝成Form對象，經過驗證后提交給ACTION層處理。??? ????“JSP層”(顯示層)，這一層是最終顯示給用戶看的頁面，同時也是入侵者的攻擊平臺。??? ?????????用戶通過訪問ACTION層，自動會發生：“ACTION調用SERVICE，SERVICE調用DAO，DAO調用DB，DB執行SQL語句返回結果給DAO，DAO返回給SERVICE，SERVICE返回給ACTION，ACTION把數據顯示到JSP里返回給用戶”。??? ????有了樣板，我們來分析這套程序中可能出現的各種web漏洞。??? ????1、SQL注入漏洞??? ????????從SQL注入漏洞說起吧，在web漏洞里，SQL注入是最容易被利用而又最具有危害性的。怎么快速的找到呢？先分析流程，就拿用戶查看文章這個流程為例：用戶訪問一個

action，告訴它用戶想看ID為7的文章，這個action就會繼續完成前面所說的流程。??? ????????如果是ASP程序，這就是最容易產生問題的時候，ASP是弱類型，接到參數后不需要轉換類型，就和SQL語句連加起來。但是JSP就不一樣，JSP是強類型的語言，接受有害的參數后：對于GET請求（直接在地址欄訪問頁面），如果這里要的是int型，即使不懂安全的程序員，也會把它（文章的ID）立刻轉換成int，因為這里轉換后在后面的處理中會更容易操作，而這時程序就出錯了；對于POST請求，如果這里要的是int型，程序會在把它封裝成Form對象時，因為自動要進行類型轉化，同樣發生錯誤，這兩種錯誤發生后，根本不會訪問后面的流程就跳出了，或許這就是JSP天生的安全性。所以，通常提交的變量是int時，不會發生問題，問題會出現在string參數這里，如果要查看某用戶的信息，程序可能會讓你提交如下參數：showuser.do?????username=kxlzx。問題來了，因為這里是string類型，所以不懂安全的程序員頂多會判斷一下是不是空，就連加成為SQL語句。有漏洞的程序大概會寫成這個樣子：??? ????ACTION的代碼：?showuser.do??????String?username?=?null;?? ????username?=?request.getParameter("username");??????Service?service?=?new?Service();??????service.findByUsername(username);?? ????得到參數后調用service,service層直接交給了Dao層，dao的代碼：??????public?Object?findByUsername(String?username)???????{?? ????JdbcTemplate?jt=new?JdbcTemplate();?? ????String?sql?=?"select?*?from?Users?where?username=’"+username"’";??????List?list?=?jt.query(sql);??????...................???????}????? ???????dao調用了DB層的JdbcTemplate，把SQL語句拼好后，傳給了JdbcTemplate去執行。不用再看這里的JdbcTemplate，就可以知道里面的代碼使用了Statement的executequery()方法執行，導致了SQL注入。??? ???????分析了這么半天，有讀者會問：“難道我要費這么大的力氣才能找到漏洞么？”。的確，通常在ASP程序里找注入時的思路就是這樣子，但是我們現在是在使用了開發模式分層架構的JSP程序里，應該按照分層架構的思維去找漏洞。在回答這個問題之前，我們還得繞個彎子，看看怎么在這里預防SQL注入（java始終都是這么優美，它不會直接告訴你答案，而是一層一層的讓你撥開云霧）。??? ????????剛才分析流程，是從正向分析的，從用戶輸入到產生漏洞，我們在防御的時候，不妨倒過來看看，從DB層入手。JdbcTemplate調用執行SQL語句，可以有兩個類供我們選擇，一個是Statement，另一個就是預處理的Statement，兩者有著效率上和安全上的顯著差別。在效率上，只要數據庫支持預處理技術（sqlserver，mysql，oracle等都支持，只有少數access等不支持），就會在大量執行SQL語句時增加速度；在安全上，使用預處理，會把接受的參數也經過預處理，從而不會作為SQL語句的一部分執行，而是僅僅作為SQL語句中的參數部分

內容被執行。一旦DB層使用了預處理，DAO層的SQL語句也會發生變化，成為這個樣子：??????public?Object?findByUsername(String?username)???????{?? ????JdbcTemplate?jt=new?JdbcTemplate();?? ????String?sql?=?"select?*?from?Users?where?username=?";??????List?list?=?jt.query(sql,new?Object[1]{username});??????...................??????}????? ????????這樣，SQL注入就和我們的程序幾乎無關了，注意我說的是幾乎，而不是全部。知道了怎么防御，于是一切在這里變的簡單極了，我們應該直接去DB層找到JdbcTemplate，看看代碼，一旦使用了Statement，很好，這個系統十有八九有漏洞，下面要做的是使用Editplus搜索“request.getParameter”。沒有使用預處理的系統，可能會在action層進行防御，對參數過濾，但總有防御不到的時候，因為戰線拉的太長了，每一個action里都可能接受參數并存在漏洞。??? ????????還有一種情況，系統一部分使用了預處理，一部分沒有，這樣的情況可能是因為項目趕的比較倉促，人員沒有經過正規培訓，最后艱難的整合到了一起。這種情況也好辦，直接在DAO層搜索（"’）或（’"），這些符號用于和字符串變量連加，拼SQL語句，肯定是這些語句之后的代碼使用了Statement。然后再往上層找，看看哪個action調用了這個有問題的dao類，也可能發生SQL注入。?? ???????即使系統使用了預處理，別忘了，程序給客戶使用后，客戶有權利去擴展的。程序拿到客戶那里，客戶有了新的需求，而這個需求又不大，很可能不愿意花錢重新雇人來實現擴展功能，在這個時候也可能出現問題，客戶使用自己的程序員擴展AJAX功能，這個程序員因為怕出問題，不敢動源程序，就在web.xml里加了一個servlet，這個servlet直接去調用conn?？膳碌氖虑榘l生了。所以，我們的搜索漏洞規則中又加上了一條，在非dao層的文件中，搜索“select，update，delete”等字符串。??? ????2、暴露程序信息漏洞??? ????????這個漏洞是怎么來的呢？我們需要從異常說起。有經驗的入侵者，可以從JSP程序的異常中獲取很多信息，比如程序的部分架構、程序的物理路徑、SQL注入爆出來的信息等，這個漏洞很容易防御，卻很難快速定位漏洞文件。出現這樣漏洞的時候，通常是我們在寫代碼的時候，少了一些可能性的考慮而導致的。這樣的問題都是經驗造成的，而尋找漏洞也要通過經驗加運氣（要有仙緣。。。），我個人技術有限，就不多說了。防御的方法就是在程序中加上“Exception層”，自定義異常，把系統產生的異常統統包裝起來，不要放過任何一個可能產生異常的地方。像騰訊的異常就包裝的很好“對不起，今天的注冊人數已經達到十萬，請您明天再來。。?！保瑥U話，日注冊量都十萬，還讓不讓人活啦，鐵定是程序發生了異常，不敢讓各位大大們看到真實的面孔。

請教一下,spring框架0day高危漏洞如何排查? 這個東西只存在于Java平臺中嗎

1、排查：為了防范用戶上傳惡意的可執行文件和腳本，以及將文件上傳服務器當做免費的文件存儲服務器使用，需要對上傳的文件類型進行白名單(非黑名單，這點非常重要)校驗，并且限制上傳文件的大小，上傳的文件，需要進行重新命名，使攻擊者無法猜測到上傳文件的訪問路徑。

2、是的。java狹義地來說，可以認為是一門編程語言，而spring是用java語言實現的一套基礎開發框架。所以可以認為spring屬于java的范疇。

如何查出漏洞weblogic java反序列化漏洞補丁存在繞過風險

打開騰訊電腦管家——工具箱——修復漏洞，進行漏洞掃描和修復。

建議設置開啟自動修復漏洞功能，開啟后，電腦管家可以在發現高危漏洞（僅包括高危漏洞，不包括其它漏洞）時，第一時間自動進行修復，無需用戶參與，最大程度保證用戶電腦安全。尤其適合老人、小孩或計算機初級水平用戶使用。開啟方式如下：進入電腦管家“修復漏洞”模塊—“設置”，點擊開啟自動修復漏洞即可。

有誰可以介紹java源代碼漏洞掃描工具不?小弟急用。、、、、

源代碼漏洞掃描？？？

怎么可能有這種定西。。。就算有也不是一般人能有的。。。

要不然 軟件測試的那幫人 干嘛去

java遠程代碼執行漏洞

struts2會將http的每個參數名解析為ongl語句執行(可理解為Java代碼)。 ongl表達式通過#來訪問struts的對象，struts框架通過過濾#字符防止安全問題，然而通過unicode編碼(\u0023)或8進制(\43)即繞過了安全限制。

如何檢測struts代碼執行漏洞

漏洞描述:

CVE-2013-225. Struts2 是第二代基于Model-View-Controller (MVC)模型的java企業級web應用框架。它是WebWork和Struts社區合并后的產物

Apache Struts2的action:、redirect:和redirectAction:前綴參數在實現其功能的過程中使用了Ognl表達式，并將用戶通過URL提交的內容拼接入Ognl表達式中，從而造成攻擊者可以通過構造惡意URL來執行任意Java代碼，進而可執行任意命令

redirect:和redirectAction:此兩項前綴為Struts默認開啟功能，目前Struts 2.3.15.1以下版本均存在此漏洞

目前Apache Struts2已經在2.3.15.1中修補了這一漏洞。強烈建議Apache Struts2用戶檢查您是否受此問題影響，并盡快升級到最新版本

參考

1.

測試方法:

@Sebug.net dis 本站提供程序(方法)可能帶有攻擊性,僅供安全研究與教學之用,風險自負!

由于Apache Struts2 在最新修補版本2.3.15.1中已經禁用了重定向參數，因此只要重定向功能仍然有效，則說明受此漏洞影響：

如果頁面重定向到，則表明當前系統受此漏洞影響。

驗證表達式解析和命令執行：

{3*4}

{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}`

Sebug安全建議:

廠商狀態：

廠商已經發布Apache Struts 2.3.15.1以修復此安全漏洞，建議Struts用戶及時升級到最新版本。

廠商安全公告：S2-01. 鏈接：

軟件升級頁面：

目前存在漏洞的公司

烏云上，已經發布了快60個struts的這個漏洞問題，包括騰訊，百度，網易，京東等國內各大互聯網公司。（）

解決辦法：

升級到Struts 2.3.15.1（強烈建議）

使用ServletFilter來過濾有問題的參數（臨時替換方案）

參考資料:

這次struts爆出來的漏洞,一大片的網站受的影響,影響最嚴重的就是電商了.對于struts的漏洞,曾經也寫過struts2代碼執行漏洞,struts2自從使用OGNL表達式的方式后,經常就會報出一些可怕的漏洞出來,建議那些還是struts的童鞋們,學習一些其他的框架吧!比如,spring mvc,簡單,好用,高效!

文章題目：java代碼框架漏洞檢查,javascript漏洞
網頁路徑：http://vcdvsql.cn/article34/hsphse.html

成都網站建設公司_創新互聯，為您提供網站制作、品牌網站建設、網站導航、企業網站制作、外貿網站建設、小程序開發

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯