浅谈Java开发中的安全编码问题

浅谈Java开发中的安全编码问题1 - 输⼊校验
编码原则：针对各种语⾔本⾝的保留字符，做到数据与代码相分离。

1.1 SQL 注⼊防范
严重性⾼，可能性低。

(1) 参数校验，拦截⾮法参数（推荐⽩名单）：
public String sanitizeUser(String username) {
return Pattern.matches("[A-Za-z0-9_]+", username)
username : "unauthorized user";
}
(2) 使⽤预编译：
String sql = "UPDATE EMPLOYEES SET SALARY = ? WHERE ID = ?";
PreparedStatement statement = conn.prepareStatement(sql);
statement.setBigDecimal(1, 285500.00);
statement.setInt(2, 30015800);
1.2 XSS防范
严重性中，可能性⾼。

防范⽅法有：
(1) 输⼊输出校验（推荐⽩名单）；
(2) ng ⼯具包处理；
(3) 富⽂本可⽤ owasp antisamp 或 java html sanitizer 处理；
(4) ESAPI 处理：
// HTML 实体
ESAPI.encoder().encodeForHTML(data);
// HTML 属性
ESAPI.encoder().encodeForHTMLAttribute(data);
// JavaScript
ESAPI.encoder().encodeForJavaSceipt(data);
// CSS
ESAPI.encoder().encodeForCSS(data);
// URL
ESAPI.encoder().encodeForURL(data);
1.3 代码注⼊/命令执⾏防范
严重性⾼，可能性低。

(1) 参数校验，拦截⾮法参数（推荐⽩名单）；
(2) 不直接执⾏⽤户传⼊参数：
if("open".equals(request.getParameter("choice"))) {
Runtime.getRuntime().exec("your command...");
}
(3) 及时更新升级第三⽅组件：
⽐如Struts、Spring、ImageMagick等。

1.4 ⽇志伪造防范
严重性低，可能性⾼。

(1) 不要log⽤户可控的信息；
(2) 输⼊参数校验（推荐⽩名单）：
// 处理回车、换⾏符
Pattern p = pile("%0a|%0d0a|\n|\r\n");
Matcher m = p.matcher(data);
dest = m.replaceAll("");
(3) 使⽤ Log4j2。

1.5 XML 外部实体攻击
严重性中，可能性中。

(1) 关闭内联 DTD 解析，使⽤⽩名单来控制允许使⽤的协议；
(2) 禁⽤外部实体：
DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();
factory.setExpandEntityReferences(false);
(3) 过滤⽤户提交的 XML 数据：
⽐如 !DOCTYPE、<!ENTITY、SYSTEM、PUBLIC 等。

1.6 XML 注⼊防范
严重性中，可能性低。

(1) 教研⽤户输⼊（推荐⽩名单）：
OutputFormat format = OutputFormat.createPrettyPrint();
(2) 使⽤安全的 XML 库（⽐如 dom4j）。

1.7 URL 重定向防范
严重性中，可能性低。

(1) 设置严格⽩名单⼏⽹络边界：
String url = request.getParameter("url");
String host = getHostFromUrl(url);
if(!validateHost(host)) {
return;
}
(2) 加⼊有效性验证的 Token；
(3) referer 适⽤于检测监控 URL 重定向、CSRF 等，多数场景下也可⽤作防范措施。

2 - 异常处理
编码原则：不要泄露详细异常信息。

2.1 敏感信息泄露防范
严重性低，可能性中。

屏蔽敏感信息⽰例：
catch(IOException e) {
System.out.println("Invalid file");
// System.out.println("Error code: 0001");
return;
}
2.2 保持对象⼀致性
严重性中，可能性低。

(1) 重排逻辑，使得产⽣异常的代码在改变对象状态的代码之前执⾏；
catch(Exception e) {
// revert
money -= PADDING;
return -1;
}
(2) 在出现异常导致操作失败的情况下，使⽤事务回滚机制；
(3) 在对象的临时拷贝上执⾏操作，成功后再提交给正式的对象；
(4) 回避修改对象的需求，尽量不去修改对象。

3 - I/O 操作
编码规则：可写的⽂件不可执⾏，可执⾏的⽂件不可写。

3.1 资源释放
严重性低，可能性⾼。

Java 垃圾回收器回⾃动释放内存资源，⾮内存资源需要开发⼈员⼿动释放，⽐如DataBase，Files，Sockets，Streams，Synchronization 等资源的释放。

try {
Connection conn = getConnection();
Statement statement = conn.createStatement();
ResultSet resultSet = statement.executeQuery(sqlQuery);
processResults(resultSet);
} catch(SQLException e) {
// forward to handler
} finally {
if (null != conn) {
conn.close();
}
}
3.2 清除临时⽂件
严重性中，可能性中。

(1) ⾃动清除：
File tempFile = Files.createTempFile("tempname", ".tmp");
try {
BufferedWriter writer = Files.newBufferedWriter(tempFile.toPath(),
StandardCharsets.UTF_8, StandardOpenOption.DELETE_ON_CLOSE)
// operate the file
writer.newLine();
} catch (IOException e) {
e.printStackTrace();
}
(2) ⼿动清除。

3.3 避免将 bufer 暴露给不可信代码
严重性中，可能性中。

wrap、duplicate 创建的 buffer 应该以只读或拷贝的⽅式返回：
Charbuffer buffer；
public Duplicator() {
buffer = CharBuffer.allocate(10);
}
/** 获取只读的 Buffer */
public CharBuffer getBufferCopy() {
return buffer.asReadOnlyBuffer();
}
3.4 任意⽂件下载/路径遍历防范
严重性中，可能性⾼。

(1) 校验⽤户可控的参数（推荐⽩名单）；
(2) ⽂件路径保存到数据库，让⽤户提交⽂件对应的 ID 去下载⽂件：
<%
String filePath = getFilePath(request.getParameter("id"));
download(filePath);
%>
(3) 判断⽬录和⽂件名：
if(!"/somedir/".equals(filePath) || !"jpg".equals(fileType)) {
...
return -1;
}
(4) 下载⽂件前做权限判断。

补充：禁⽌将敏感⽂件（如⽇志⽂件、配置⽂件、数据库⽂件等）存放在 web 内容⽬录下。

3.5 ⾮法⽂件上传防范
严重性⾼，可能性中。

在服务器端⽤⽩名单⽅式过滤⽂件类型，使⽤随机数改写⽂件名和⽂件路径。

if(!ESAPI.validator().isValidFileName(
"upload", filename, allowedExtensions, false)) {
throw new ValidationUploadException("upload error");
}
补充：如果使⽤第三⽅编辑器，请及时更新版本。

4 - 序列化/反序列化操作
编码原则：不信任原则。

4.1 敏感数据禁⽌序列化
严重性⾼，可能性低。

使⽤ transient、serialPersistentFields 标注敏感数据：
private static final ObjectStreamField[] serialPersistentFields = {
new ObjectStreamField("name", String.class),
new ObjectStreamField("age", Integer.TYPE)
}
当然，正确加密的敏感数据可以序列化。

4.2 正确使⽤安全管理器
严重性⾼，可能性低。

如果⼀个类的构造⽅法中含有各种安全管理器的检查，在反序列化时也要进⾏检查：private void writeObject(ObjectOutputStream out) throws IOException {
performSecurityManagerChek();
out.writeObject(xxx);
}
补充：第三⽅组件造成的反序列化漏洞可通过更新升级组件解决；
禁⽌ JVM 执⾏外部命令，可减⼩序列化漏洞造成的危害。

5 - 运⾏环境
编码原则：攻击⾯最⼩化原则。

5.1 不要禁⽤字节码验证
严重性中，可能性低。

启⽤ Java 字节码验证：Java -Xverify:all ApplicationName
5.2 不要远程调试/监控⽣产环境的应⽤
严重性⾼，可能性低。

(1) ⽣产环境中安装默认的安全管理器，并且不要使⽤ -agentlib，-Xrunjdwp 和 -Xdebug 命令⾏参数：
${JAVA_HOME}/bin/java -Djava.security.manager ApplicationName
(2) iptables 中关闭相应 jdwp 对外访问的端⼝。

5.3 ⽣产应⽤只能有⼀个⼊⼝
严重性中，可能性中。

移除项⽬中多余的 main ⽅法。

6 - 业务逻辑
编码原则：安全设计 API。

6.1 ⽤户体系
过程如下：
(1) identification <-- 宣称⽤户⾝份（鉴定提供唯⼀性）
|
|--> (2) authentication <-- 验证⽤户⾝份（验证提供有效性）
|
|--> (3) authorization <-- 授权访问相关资源（授权提供访问控制）
|
|--> RESOURCE
|
|--> (4) accountability <-- ⽇志追溯
(1) ⾝份验证：
严重性⾼，可能性中。

多因素认证；
暴⼒破解防范：验证码、短信验证码、密码复杂度校验、锁定账号、锁定终端等；
敏感数据保护：存储、传输、展⽰（API 接⼝、HTML 页⾯掩码）；
禁⽌本地验证：重要操作均在服务器端进⾏验证。

(2) 访问控制：
严重性⾼，可能性中。

从 Session 中获取⾝份信息；
禁⽤默认账号、匿名账号，限制超级账号的使⽤；
重要操作做到职责分离；
⽤户、⾓⾊、资源、权限做好相互校验；
权限验证要在服务器端进⾏；
数据传输阶段做好加密防篡改。

补充：oauth 授权时授权⽅和应⽤⽅都要做好安全控制。

(3) 会话管理：
严重性⾼，可能性中。

漏洞名称防御⽅法
会话 ID 中嵌⼊ URL会话 ID 保存在 Cookie 中
⽆ Session 验证所有的访问操作都应基于 Session
Session 未清除注销、超时、关闭浏览器时，都要清除 Session
Session 固定攻击认证通过后更改 Session ID
Session ID 可猜测使⽤开发⼯具中提供的会话管理机制
重放攻击设置⼀次失效的随机数，或设置合理的时间窗
补充：设置认证 Cookie 时，需加⼊ secure 和 httponly 属性。

(3) ⽇志追溯：
严重性中，可能性中。

记录每⼀个访问敏感数据的请求，或执⾏敏感操作的事件；
防范⽇志伪造攻击（输⼊校验）；
任何对⽇志⽂件的访问（读、写、下载、删除）尝试都必须被记录。

6.2 在线⽀付
严重性⾼，可能性中。

⽀付数据做签名，并确保签名算法的可靠；
重要参数进⾏校验，并做有效性验证；
验证订单的唯⼀性，防⽌重放攻击。

6.3 顺序执⾏
严重性⾼，可能性中。

对每⼀步的请求都要严格验证，并且要以上⼀步的执⾏结果为依据；
给请求参数加⼊随机 key，贯穿验证的始终。

以上这篇浅谈Java开发中的安全编码问题就是⼩编分享给⼤家的全部内容了，希望能给⼤家⼀个参考，也希望⼤家多多⽀持。