久久网站免费观看,久久在线视频在线,自拍偷拍亚洲图片

主頁 > 知識庫 > JSP安全性初探

JSP安全性初探

綜述：有幾種辦法可以暴露JSP代碼，不過經(jīng)過大量測試，這和WEB SERVER的配置有絕對的關(guān)系，就拿IBM Websphere Commerce Suite而言，還有別的方法看到JSP源代碼，但相信是IBM HTTP SERVER的配置造成的。

　　如果想發(fā)現(xiàn)JSP暴露源代碼的BUG的話，首先需要了解JSP的工作原理。

　　JSP和其它的PHP、ASP工作機制不一樣，雖然它也是一種web編程語言。首次調(diào)用JSP文件其實是執(zhí)行一個編譯為Servlet的過程。注意我們就要在這上邊做文章，明白嗎？我們要干的事情是，讓JSP在編譯前被瀏覽器當(dāng)作一個文本或其它文件發(fā)送給客戶端，或在JSP裝載的時候不去執(zhí)行編譯好的Servlet而直接讀JSP的內(nèi)容并發(fā)送給客戶端。

　　明白了道理及所要達(dá)到的目的就好下手了，仔細(xì)觀察調(diào)用及返回過程可以發(fā)現(xiàn)：JSP被編譯為了Servlet保存在指定的目錄下，如:http://www.x.com/lovehacker/index.jsp很可能存放在X:\IBM\WAServer\temp\default_host\default_app\pagecompile\_lovehacker_index_xjsp.class，這是已經(jīng)編譯過的index.jsp。_lovehacker_index_xjsp.class顯然是我們不需要的文件，而且我們得到它的可能性也不大，我們要干的是不去執(zhí)行_lovehacker_index_xjsp.class而是直接讀index.jsp的內(nèi)容。

　　據(jù)分析最初的xxx.JSP暴露源代碼也是因為前邊的這種想法造成的，本來目錄中存放了一個_xxx_xjsp.class，但訪問xxx.JSP本來是個合法的請求，而又找不到對應(yīng)的Servlet所以就把xxx.JSP當(dāng)做一個文本或其它文件發(fā)送給了用戶。

　　也許這是因為IBM HTTP SERVER配置不當(dāng)造成的，但相信如果能成功的話，會有一種成就感，很爽的哦！

　　順便說一下暴露文件存放真實路徑可能會帶來的危害：

　　1．先會讓入侵者了解磁盤配置情況
　　2．明的入侵者甚至可以分析出管理員的水平高低
　　3．為入侵者修改你的首頁提供了方便（起碼不用在找你的WEB目錄在那個磁盤了）
　　4．可能被利用一些其它的CGI的漏洞查找到Web目錄下的文件如XX.ASP、XX.JSP、XX.PHP等

　　JSP安全問題主要有哪幾方面？

　　本節(jié)重點在于對jsp安全問題進行分類闡述和提出解決的建議，所以每種類型的安全問題只采用了一個例子，對于其它各種漏洞的具體細(xì)節(jié)如涉及到何種軟件版本何種操作系統(tǒng)等就不一一進行闡述了，有興趣的讀者可以到j(luò)sp愛好者(http://jspbbs.yeah.net)或者國外的安全站點(http://www.securityfocus.com)進行查看和參考。

　　根據(jù)目前已經(jīng)發(fā)現(xiàn)的jsp安全問題，不妨將它們分為以下幾類，源代碼暴露類、遠(yuǎn)程程序執(zhí)行類和其他類別, 下面來看看具體的東西吧。

　　一、源代碼暴露類

　　源代碼暴露類別主要指的是程序源代碼會以明文的方式返回給訪問者。
　　我們知道不管是jsp還是asp、php等動態(tài)程序都是在服務(wù)器端執(zhí)行的，執(zhí)行后只會返回給訪問者標(biāo)準(zhǔn)的html 等代碼。這是理論上的東西，實際運行起來由于服務(wù)器內(nèi)部機制的問題就有可能引起源代碼暴露的漏洞，簡單的例子只要在程序文件名后加幾個簡單的字符就可能獲得程序代碼，如常見微軟asp 的global.asa+.htr、XXXX.asp%81等等漏洞。

　　1．添加特殊后綴引起jsp源代碼暴露

　　在jsp中也存在著和asp這些漏洞類似的問題，如IBM Websphere Application Server 3.0.21、BEA Systems Weblogic 4.5.1、Tomcat3.1等jsp文件后綴大寫漏洞；jsp 文件后加特殊字符如Resin1.2的%82、../漏洞；ServletExec的%2E、+漏洞等等。

　　例子：舉個老一點的JSP大寫例子，Tomcat3.1下在瀏覽器中本來是http://localhost:8080/inde.jsp，可以正常解釋執(zhí)行，但是如果將inde.jsp改為inde.JSP或者inde.Jsp等等試試看，你會發(fā)現(xiàn)瀏覽器會提示你下載這個文件，下載后源代碼可以看個一干二凈。

　　原因：jsp是大小寫敏感的，Tomcat只會將小寫的jsp后綴的文件當(dāng)作是正常的jsp文件來執(zhí)行，如果大寫了就會引起Tomcat將index.JSP當(dāng)作是一個可以下載的文件讓客戶下載。老版本的WebLogic、WebShpere等都存在這個問題，現(xiàn)在這些公司或者發(fā)布了新版本或者發(fā)布了補丁解決了這問題。

　　解決辦法：一是在服務(wù)器軟件的網(wǎng)站上下載補丁；因為作者以前用過asp 一段時間，接觸了很多IIS的漏洞，它的有效解決方法是去掉不必要的映射如htr、htx等，在jsp 中我們同樣可以參考IIS的解決方法，不同的是不是去掉而是添加映射，方法為在服務(wù)器設(shè)置中添加一些映射如.JSP 、.Jsp、.jsp%2E等，將他們映射到一個自己寫的servlet，這個Servlet的唯一功能就是將請求導(dǎo)向一個自定義的類似404 not found的出錯頁面，不同的服務(wù)器設(shè)置的地方也不同，請參考相應(yīng)的文檔。第二種解決方法可以在沒有補丁的時候采用。

　　2．插入特殊字符串引起jsp源代碼暴露

　　還有一種是插入特殊字符串引起的漏洞，BEA WebLogic Enterprise 5.1文件路徑開頭為 "/file/" 的漏洞、IBM WebSphere 3.0.2的"/servlet/file/"文件開頭漏洞等等。

　　例子：如IBM WebSphere 3.0.2中，如果一個請求文件的 URL為"login.jsp":http://site.running.websphere/login.jsp，那么訪問http://site.running.websphere/servlet/file/login.jsp將看到這個文件的源代碼。

　　原因：因為IBM WebSphere 3.0.2是調(diào)用不同的 servlets 對不同的頁面進行處理，如果一個請求的文件是未進行注冊管理的，WebSphere 會使用一個默認(rèn)的 servlet 調(diào)用。如果文件路徑以"/servlet/file/"作開頭這個默認(rèn)的 servlet 會被調(diào)用這個請求的文件會未被分析或編譯就顯示出來。

　　解決方法：在服務(wù)器軟件的網(wǎng)站下載最新的補丁。

　　3．路徑權(quán)限引起的文件jsp源代碼暴露

　　我們知道，大部分的jsp應(yīng)用程序在當(dāng)前目錄下都會有一個WEB-INF目錄，這個目錄通常存放的是JavaBeans編譯后的class 文件，如果不給這個目錄設(shè)置正常的權(quán)限，所有的class就會曝光。

　　例子：如果采用的是Apache1.3.12加上第三方j(luò)sp軟件形式的WEB服務(wù)器，因為Apache1.3.12默認(rèn)的設(shè)置是可以讀取目錄的，如果程序在http://site.running.websphere/login.jsp，只要修改一下http://site.running.websphere/WEB-INF/所有這個目錄下以及這個目錄下的子目錄中的class文件可以看個一干二凈的，還可以下載到本機上。

　　也許有人會說class是經(jīng)過編譯的，就算被人下載也沒有什么關(guān)系，但是現(xiàn)在class 反編譯為Java代碼的軟件也很多，有人曾經(jīng)采用JAD軟件對下載的class文件反編譯了一下，居然和原始的Java文件幾乎一模一樣，變量名都沒有變，更驚奇的是還可以重新編譯為class文件正常使用。

　　安全問題更大的就是，網(wǎng)頁制作者開始把數(shù)據(jù)庫的用戶名密碼都寫在了Java代碼中，現(xiàn)在一反編譯誰都能看到數(shù)據(jù)庫的重要信息。通過數(shù)據(jù)庫的遠(yuǎn)程連接功能，可以輕松的進入到你的數(shù)據(jù)庫中，所有信息全部在他手中。附帶說一句，如果用戶能獲得SQL Server的用戶名口令，進入數(shù)據(jù)庫中可以執(zhí)行任意的dos命令如查看c:\文件、建立和刪除目錄等，那樣整個Windows系統(tǒng)都不安全了。

　　解決方法：IIS以前一個有效地解決asp漏洞的方法，就是將asp程序單獨放置一個目錄，目錄設(shè)置上用戶權(quán)限只能執(zhí)行不能讀取。在jsp環(huán)境下同樣可以通過設(shè)置服務(wù)器的環(huán)境來解決這個問題，簡單的說，就是將一些比較重要的目錄如WEB-INF、classes等設(shè)置上訪問的權(quán)限，不允許讀而取只允許執(zhí)行。以apache 下解決為例，可以在httpd.conf文件中添加一目錄WEB-INF并設(shè)置Deny from all等屬性。

　　另一種比較笨的解決方法就是在每個重要目錄下添加一個默認(rèn)起始頁面如index.htm等，這樣讀取目錄就會返回給訪問者這個文件而不是其它了。建議采用的一種方法。

　　更為重要的是密碼的保存問題。在jsp中可以寫一個property文件，放置在WINNT系統(tǒng)目錄下，然后用Bean來讀取數(shù)據(jù)庫信息，這樣通過源代碼知道了數(shù)據(jù)庫信息存在WINNT中的.property文件里面，但也很難訪問它，這樣就算源代碼被人知道起碼數(shù)據(jù)庫是安全的。

　　4．文件不存在引起的絕對路徑暴露問題

這個問題相信大家都比較熟悉了，因為微軟IIS 中也有比較多的類似問題。如微軟IIS5.0中的*.idc暴露絕對路徑漏洞。同樣的這些問題現(xiàn)在也轉(zhuǎn)到了jsp環(huán)境中，這個漏洞暴露了web程序的絕對硬盤地址，和其他漏洞結(jié)合就具有比較大的危害了

　　例子：在特定的服務(wù)器軟件下，訪問一個不存在的jsp文件如 http://localhost:8080/fdasfas.jsp，就會返回Java.servlet.ServletEception: Java.io.FileNotFoundEception: c:\web\app\fadssad.jsp (???????????)這樣的錯誤，這樣就可以知道網(wǎng)站在c:\web\app目錄下，也許一般人不太在意，但是對于一個黑客來說就是很有幫助了。

　　原因：負(fù)責(zé)jsp 執(zhí)行的相關(guān)Servlet中處理異常的時候沒有過濾掉這種情況。

　　解決方法：一是下載最新的補??；如果當(dāng)時的web 服務(wù)器軟件沒有這個補丁，可以找到服務(wù)器軟件的jsp 執(zhí)行映射Servlet文件(當(dāng)然是class 后綴的)，將它用JAD軟件反編譯，在反編譯后的源代碼中找到處理Exception的方法，然后將方法中的處理部分全部注釋掉，并將請求導(dǎo)向到一個自定義的出錯頁面中，這樣問題就解決了。

　　二、遠(yuǎn)程程序執(zhí)行類

　　這類漏洞的特點就是可以通過url 地址在瀏覽器中執(zhí)行任意服務(wù)器上的命令和程序，從而引起安全問題。如Allaire JRUN 2.3 遠(yuǎn)程執(zhí)行任意命令漏洞、iPlanet Web Server 4.x存在一個緩沖區(qū)溢出漏洞等等。
例子：Allaire 的 JRUN 服務(wù)器 2.3上輸入下面的url地址http://jrun:8000/servlet/jsp/../../path/sample.txt，可以訪問到WEB目錄以外的文件，如果是exe文件，還有可能會引起執(zhí)行。

　　原因：如果URL請求的目標(biāo)文件使用了前綴"/servlet/"，則JSP 解釋執(zhí)行功能被激活。這時在用戶請求的目標(biāo)文件路徑中使用"../"，就有可能訪問到 WEB 服務(wù)器上根目錄以外的文件。目標(biāo)主機上利用該漏洞請求用戶輸入產(chǎn)生的一個文件，將嚴(yán)重威脅到目標(biāo)主機系統(tǒng)的安全。

　　解決方法：安裝最新的補丁。

　　三、其他類別

　　這些類別的范圍就有點大了，可以包括數(shù)據(jù)庫如SQL Server、Oracle 、DB2等的漏洞，也可以包括操作系統(tǒng)如WindowsNT/2000、Linu等的漏洞。這些東西的漏洞可以說都是致命的，如利用Linux的某些漏洞可以輕易獲得管理員權(quán)限來遠(yuǎn)程控制服務(wù)器，獲得系統(tǒng)的完全控制權(quán)限，這樣要獲得jsp源代碼或者摧毀服務(wù)器比踩死一只螞蟻還要輕松的多。

　　四、全文總結(jié)

　　通過上面內(nèi)容可以看出jsp同asp一樣還是存在著很多安全上的問題的，客觀的說，服務(wù)器軟件的開發(fā)商在內(nèi)部測試中不可能將系統(tǒng)中的所有bug 找出來，即使發(fā)布了軟件后，被發(fā)現(xiàn)的漏洞也只會是其中的很小一部分，將來還會不斷的有新的安全問題出現(xiàn)，所以我們必須時刻提高警惕，并注意自己網(wǎng)站的安全。

　　一個好的建議就是多看安全文章，這些安全文章一般都會有詳細(xì)的信息如軟件的版本號、漏洞原因等等，最重要的是還附帶了解決辦法或者是補丁的下載鏈接，推薦的安全站點是國內(nèi)的安全站點www.cnns.net或者國外的http://www.securityfocus.com站點；另外一個好的建議就是多裝補丁程序，訪問自己所使用的軟件公司主頁，從那上面獲得最新的補丁程序，做得比較好的就是微軟的站點，安全公告和補丁都特別及時。

　　最后想用一句話作為全文的結(jié)尾：一個優(yōu)秀的黑客不一定是個好的jsp 程序員，一個優(yōu)秀的jsp程序員一定要是個好的準(zhǔn)黑客。

　　哪些方式可實現(xiàn)Java Servlet及JSP的應(yīng)用安全？

　　一個web 應(yīng)用程序可擁有多種資源，經(jīng)常有許多敏感的信息在沒有保護措施的情況下在開放性網(wǎng)絡(luò)上傳輸。在這種環(huán)境下，實際上許多web 應(yīng)用程序有一定程度的安全性要求。大多數(shù)的servlet 容器有明確的機制和結(jié)構(gòu)來達(dá)到這種安全要求。雖然保證和執(zhí)行的細(xì)節(jié)可能有些不同，但是，都具有下面的特點：

　　1．Authentication：通訊實體相互驗證對方的行為是以一個明確的身份在進行的一種機制。
　　2．Access control for resources：對某組用戶來說，對數(shù)據(jù)庫的某些操作是受到限制的，或?qū)τ行┏绦驈娬{(diào)可用性，完整性或保密性的一種機制。
　　3．Data Integrity：數(shù)據(jù)在傳遞過程中保證不被第三方修改的一種機制。
　　4．Confidentiality or Data Privacy：保證數(shù)據(jù)只被那些授權(quán)使用的用戶使用，能被安全傳遞的一種機制。

　　Java Servlet，JSP中安全性通過如下幾種方式實現(xiàn)：

　　一、 Declarative Security

　　Declarative security指的是表達(dá)一個應(yīng)用的安全結(jié)構(gòu)，包括角色，存取控制，和在一個應(yīng)用的外部表單所要求的驗證。在web application中發(fā)布描述器是實施declarative security的一種主要的工具。

　　發(fā)布者把application所要求的邏輯完整性映射為在特定運行環(huán)境下的安全策略。在運行時，servlet container使用這些策略來強迫驗證。

　　二、Programmatic Security

　　當(dāng)declarative security不能夠完全表達(dá)一個application的安全模型時，就可以使用programmatic Security。Programmatic Security包括HttpServletRequest接口的下列方法：
　　getRemoteUser
　　isUserInRole
　　getUserPrincipal

　　getRemoteUser方法返回經(jīng)過客戶端驗證的用戶名。IsUserInRole向container的安全機制詢問一個特定的用戶是否在一個給定的安全角色中。GetUserPrinciple方法返回一個Java.security.Pricipal對象。這些APIs根據(jù)遠(yuǎn)程用戶的邏輯角色讓servlet去完成一些邏輯判斷。它也可以讓servlet去決定當(dāng)前用戶的主要名字。如果getRemoteUser返回null值（這意味著沒有用戶被驗證），那么isUserInRole就總會返回false，getUserPrinciple總會返回null。

　　三、Roles

　　一個Roles就是由Application Developer和Assembler所定義的一個抽象的邏輯用戶組。當(dāng)一個application被發(fā)布的時候，Deployer就把這些角色映射到在運行環(huán)境中的安全認(rèn)證，例如組或規(guī)則。

　　一個servlet container能夠為規(guī)則執(zhí)行一些說明或編程安全，這些規(guī)則是與調(diào)用這些principal的安全屬性所輸入的要求相聯(lián)系的。例如：

　　1．當(dāng)deployer把一個安全角色映射為操作環(huán)境下的一個用戶組，調(diào)用principle所屬的用戶組就從安全屬性中獲得。如果principle的用戶組與在操作環(huán)境下的用戶組相匹配，那么principle 就是一個安全角色。
　　2．當(dāng)deployeer把一個安全角色映射為一個在安全方針域中的principle名時，調(diào)用principle的確principle名就被從安全屬性中提取出來。如果兩者相同的話，調(diào)用的principle就是安全的。

　　四、Authentication

　　一個web 客端能夠使用下面的一種機制來對web 服務(wù)器驗證一個用戶。

　　HTTP Digest Authentication
　　HTTPS Client Authentication
　　HTTP Basic Authentication
　　HTTP Based Authentication

　　五、HTTP Basic Authentication

　　HTTP Basic Authentication是一個定義在HTTP/1.1規(guī)范中的驗證機制。這種機制是以用戶名和密碼為基礎(chǔ)的。一個web server要求一個web client去驗證一個用戶。作為request的一部分，web server 傳遞被稱之為realm的字符串，用戶就是在它里面被驗證的。注意：Basic Authentication機制的realm字符串不一定反映任何一種安全方針域。Web client得到這些用戶名和密碼，然后把它傳遞給web server。Web server然后在一個特定的領(lǐng)域驗證這些用戶。

　　由于密碼是使用一種64位的編碼來傳遞，而且目的server沒有驗證，所以Basic Authentication不是一種安全的驗證協(xié)議。然而一些附加的保護像使用一種安全傳輸機制（HTTPS）或在網(wǎng)絡(luò)層使用安全措施能夠解決一些問題。

　　六、HTTP Digest Authentication

　　與HTTP Digest Authentication一樣，HTTP Digest Authentication根據(jù)用戶名和密碼驗證一個用戶。然而密碼的傳輸是通過一種加密的形式進行的，這就比Basic Authentication所使用的64位編碼形式傳遞要安全的多。這種方法沒有像HTTPS Client Authentication的個人密鑰方案安全。由于Digest Authentication當(dāng)前不被廣泛使用，servlet containers不要求支持它但是鼓勵去支持它。

　　七、HTTPS Client Authentication

　　使用HTTPS（HTTP over SSL）的終端用戶驗證是一種嚴(yán)格非驗證機制。這種機制要求用戶去處理公共密鑰證明（Public Key Certification PKC）。當(dāng)前，PKCs在e-commerce應(yīng)用中是有用的。不適應(yīng)J2EE的servlet containers不要求支持HTTPS協(xié)議。

　　八、Server Tracking of Authentication Information

　　就像映射在角色中的安全標(biāo)識一樣，運行環(huán)境是環(huán)境的說明而不是應(yīng)用的說明。

　　1．在web application的發(fā)布環(huán)境創(chuàng)建一個登錄機制和策略。
　　2．對發(fā)布在同一個container的application能夠使用同樣的驗證信息來代表這些application的principal。
　　3．僅僅當(dāng)通過安全策略域時要求用戶重新驗證。

　　因此，一個servlet container要求在container層來跟蹤這些驗證信息，而不是在application層。允許一個經(jīng)驗證的用戶拒絕一個使用其它資源的application，這些是通過受同樣安全性標(biāo)識限制的container管理的。

您可能感興趣的文章:

編寫線程安全的JSP程序
JSP應(yīng)用的安全問題
Java線程安全中的單例模式
java編譯時出現(xiàn)使用了未經(jīng)檢查或不安全的操作解決方法
深入理解:Java是類型安全的語言,而C++是非類型安全的語言
Java語言的接口與類型安全
JSP學(xué)習(xí)之Java Web中的安全控制實例詳解

標(biāo)簽：保定玉樹肇慶北海潮州紹興廣元吳忠

巨人網(wǎng)絡(luò)通訊聲明：本文標(biāo)題《JSP安全性初探》，本文關(guān)鍵詞 JSP,安全性,初探,JSP,安全性,；如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題，煩請?zhí)峁┫嚓P(guān)信息告之我們，我們將及時溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò)，涉及言論、版權(quán)與本站無關(guān)。

婷婷综合国产,91蜜桃婷婷狠狠久久综合9色 ,九九九九九精品,国产综合av

JSP安全性初探