51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

JSP和Servlet应用的安全问题

作者:网络
开发 后端
本文介绍JSP和Servlet应用的安全问题,在JSP系统中产生安全漏洞的机会是相当多的,下面我们将讨论它们中最常见的一部分。

一、概述 

当网络编程越来越方便,系统功能越来越强大,安全性却指数倍地下降。这恐怕就是网络编程的不幸和悲哀了。各种动态内容生成环境繁荣了WWW,它们的设计目标就是为了给开发者更多的力量,给最终用户更多的方便。正因为如此,系统设计师和开发者必须明确地把安全问题作为一个考虑因素,事后追悔很难奏效。

从安全的角度来看,服务器端WWW应用的弱点来源于各种各样的交互能力和传输通道。它们是攻击者直接可以用来影响系统的工具。在攻击者寻找和利用系统安全漏洞时,它们总是给系统安全带来压力。对付所有这些攻击的通用防卫策略就是所谓的输入验证。 
从同一层面考虑,主要有两种设计上的错误导致了安全方面的问题: 
◆拙劣的访问控制,以及 
◆对部署环境作隐含的假设。 

在有关安全的文献中,针对访问控制问题有着许多深入的分析。这里我们要讨论的是底层实现(代码和配置)上的安全管理问题,讨论的环境是JSP。或者说,我们将讨论恶意的用户输入伪装自身以及改变应用预定行为的各种方法,考虑如何检验输入合法性以及减少对信息和应用接口的不受欢迎的探测。 

二、JSP概述 

JSP技术允许把Java代码逻辑嵌入到HTML和XML文档之内,为创建和管理动态WWW内容带来了方便。JSP页面由JSP引擎预先处理并转换成Java Servlet,此后如果出现了对JSP页面的请求,Web服务器将用相应的Servlet输出结果作为应答。虽然JSP和Servlet在功能上是等价的,但是,JSP和Servlet相比,JSP的动态内容生成方法恰好相反:JSP是把Java代码嵌入到文档之中,而不是把文档嵌入到Java应用之中。为访问外部功能和可重用的对象,JSP提供了一些用来和JavaBean组件交互的额外标记,这些标记的语法和HTML标记相似。值得注意的是:HTML语法属于JSP语法的一个子集(一个纯HTML文档是一个合法的JSP页面),但反过来不一定正确。特别地,为了便于动态生成内容和格式,JSP允许在标记之内嵌入其他标记。例如,下面是一段合法的JSP代码: 

 


从本文后面可以看到,这种结构增加了安全问题的复杂性。与CGI相比,JSP具有更好的性能和会话管理(即会话状态持久化)机制。这主要通过在同一个进程之内运用Java线程处理多个Servlet实现,而CGI一般要求为每一个请求分别创建和拆除一个进程。 

三、安全问题 

由于完全开放了对服务器资源的访问,从JSP页面转换得到的不安全Servlet可能给服务器、服务器所在的网络、访问页面的客户机之中的任意一个或全体带来威胁,甚至通过DDoS或蠕虫分布式攻击,还可能影响到整个Internet。人们往往假定,Java作为一种类型安全的、具有垃圾收集能力的、具有沙箱(Sandbox)机制的语言,它能够奇迹般地保证软件安全。而且事实上,许多在其他语言中存在的低层次安全问题,比如缓冲或堆溢出,很少给Java程序带来危害。然而,这并不意味着人们很难写出不安全的Java程序,特别是对编写Servlet来说。验证输入和控制对资源的访问是始终必须关注的问题。另外,JSP的体系结构相当复杂,其中包含许多相互协作的子系统。这些子系统之间的交互常常是安全隐患的根源。除此之外,虽然现在所有的JSP实现都围绕着Java,但JSP规范允许几乎所有其他语言扮演这个角色。这样,这些替代语言的安全问题也必须加以考虑。 

简而言之,在JSP系统中产生安全漏洞的机会是相当多的。下面我们将讨论它们中最常见的一部分。 

四、非置信用户输入的一般问题 

非置信的用户输入(Untrusted User Input)实际上包含了所有的用户输入。用户输入来源于客户端,可以通过许多不同的途径到达服务器端,有时甚至是伪装的。为JSP和Servlet服务器提供的用户输入包括(但不限于): 
◆请求URL的参数部分, 
◆HTML表单通过POST或GET请求提交的数据, 
◆在客户端临时保存的数据(也就是Cookie), 
◆数据库查询, 
◆其它进程设置的环境变量。 

用户输入的问题在于,它们由服务器端的应用程序解释,所以攻击者可以通过修改输入数据达到控制服务器脆弱部分的目的。服务器的脆弱部分常常表现为一些数据访问点,这些数据由用户提供的限定词标识,或通过执行外部程序得到。 

JSP能够调用保存在库里面的本地代码(通过JNI)以及执行外部命令。类Runtime提供了一个exec()方法。exec()方法把它的第一个参数视为一个需要在独立的进程中执行的命令行。如果这个命令字符串的某些部分必须从用户输入得到,则用户输入必须先进行过滤,确保系统所执行的命令和它们的参数都处于意料之内。即使命令字符串和用户输入没有任何关系,执行外部命令时仍旧必须进行必要的检查。在某些情况下,攻击者可能修改服务器的环境变量影响外部命令的执行。例如,修改path环境变量,让它指向一个恶意的程序,而这个恶意程序伪装成了exec()所调用程序的名字。为了避免这种危险,在进行任何外部调用之前显式地设置环境变量是一种较好的习惯。具体的设置方法是:在exec()调用中,把一个环境变量的数组作为第二个参数,数组中的元素必须是 name=value格式。

【编辑推荐】

  1. Java Servlets(JSP)开发环境
  2. 开发JSP HTTP服务器
  3. 选择JSP开发工具
  4. Servlet和JSP路径详细介绍
  5. JSP Servlet中传递技术要点
责任编辑:佚名 来源: IT168
JSP和Servlet
相关推荐
ServletJSP安全问题
本文介绍编写Servlet和JSP是容易的,但通常我们会面临很多安全问题,包括设置XML文件和运行实例代码。

2009-07-07 13:29:33

Servlet和JSP
ServletJSP多线程同步问题
本文描述Servlet和JSP中的多线程同步问题,以及问题的解决方案,还介绍了在Servlet和JSP中的几种变量类型。

2009-07-01 17:34:03

Servlet和JSP
Servlet/JSP配置问题详解
ServletJSP配置是我们开始学习的基础,那么如何搭建一个ServletJSP的好的运行平台呢?本文向你介绍ServletJSP配置的基本情况。

2009-07-06 09:49:26

Servlet JSP
JSPServlet区别
本文向您介绍JSP和Servlet的区别,从运作原理、技术更新等多个方面向您介绍JSP和Servlet技术。

2009-07-06 15:34:56

JSP和Servlet
应用程序安全问题注意事项
专家表示,那些急于把内部开发的应用程序放在云上,以节省成本并提高效率的企业,需要慎重考虑云环境中应用程序的安全环境变化。原来可信的并且在安全环境中运行的所有部件现在运行在一个不受信任的环境中。

2011-05-04 18:14:48

如何应对云应用带来安全问题?
云计算时代,IT安全专家承担着管理安全的重担,因为他们面临的是日益复杂的基于云的威胁。

2015-12-24 10:55:05

浅谈应用层协议安全问题
下面的文章中,我们对应用层协议进行了一些安全描述。针对的则是SET应用层的安全讲解。首先我们是了解一下在这个层面具备的一些业务应用。

2010-06-28 15:52:17

如何提升ServletJSP应用程序效率
本文的目的是通过对Servlet和JSP的一些调优技术来极大地提高你的应用程序的性能,并因此提升整个J2EE应用的性能。

2009-07-01 13:54:41

Servlet和JSP
CGI安全问题
CGI中最常见的漏洞是由于未验证用户输入参数而引起的问题。CGI脚本一般从URL、表单或路径信息(PathInformation)中获取用户的请求信息。

2012-11-20 10:47:16

ServletJSP潜在隐患
本文介绍编写Servlet和JSP的时候,线程安全问题很容易被忽略,如果忽视了这个问题,你的程序就存在潜在的隐患。

2009-07-08 09:22:03

Servlet和JSP
物联网应用中存在哪些安全问题危害?
物联网应用广泛,涉及各行各业,其应用安全问题除了现有通信网络中出现的业务滥用、重放攻击、应用信息的窃听和篡改等安全问题外,还存在更为特殊的应用安全问题及危害。

2018-10-08 14:53:16

无需修改代码增强ServletJSP安全
本文介绍无需修改代码增强Servlet和JSP的安全性,以及设置XML文件和运行实例代码。

2009-07-01 15:25:16

Servlet和JSP
Servlet JSP线程学习
本文介绍ServletJSP线程,Servlet规范已经声明Servlet不是线程安全的,所以在开发Servlet的时候要注要这个问题,JSP的本质是Servlet,所有只要明白了Servlet的安全问题,JSP的安全问题应该很容易理解。

2009-08-10 09:19:28

Servlet JSP
解决Servlet JSP页面乱码问题
本文介绍解决ServletJSP页面乱码问题的方法,包括写deal处理页面及代码等。

2009-07-07 13:42:57

Servlet JSP
银行应用云计算技术安全问题
云计算具有前期零成本投入、通过互联网共享服务、灵活、按使用收费等特性,因此吸引了不少大型银行的目光。其中ING已经开始对云计算技术进行前期试验,另外还有一些银行也在密切关注云计算技术,并期待有关云计算安全性等相关问题能有一个明确的结论。当然,还有一些银行对于云计算技术仍然是知之甚少。

2012-10-16 10:18:20

Temenos Mis云安全云计算
ServletJSP技术特性
本文介绍Servlet和JSP新特性,JSP是servlet技术的一个扩展,而不是废弃servlet。在实际应用当中,servlet和JSP页面一起使用。

2009-07-09 10:49:56

Servlet和JSP
ServletJSP传值问题
Servlet与JSP之间的传值有两种情况:JSPServlet,ServletJSP。通过对象request和session(不考虑application)完成传值。

2012-06-29 13:31:56

ServletJSPJava
可重用云工具弥补应用安全问题
当在两个不同的公司工作时,软件工程师AlexSalazar和LesHazlewood发现自己正在为每个应用重塑身份验证和访问控制。本文中将介绍他们如何用可重用云工具解决应用安全问题。

2013-04-23 09:24:51

WebSocket通信协议应用安全问题分析
WebSocket是HTML5开始提供的一种浏览器与服务器间进行全双工通讯的网络技术。WebSocket通信协议于2011年被IETF定为标准RFC6455,WebSocketAPI也被W3C定为标准,主流的浏览器都已经支持WebSocket通信。

2017-08-17 17:48:06

可重用云工具弥补应用安全问题
Salazar和Hazlewood建立ApacheShiro的过程中,揭示了企业和云应用开发者所面临的安全问题,处理这些问题的方法以及避免常见的错误。他们为企业和云应用的身份验证、密码存储、用户管理、访问控制和共同安全工作流创建了Stormpath应用程序接口(API)。

2013-04-23 09:14:22

可重用云工具Java安全框架云中间件
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服