Java Web 工程源代码安全审计实战,第 4 部分

文章出处:https://www.ibm.com/developerworks/cn/java/j-lo-audit-environmental-reinforcement/index.html
环境加固
叶 林, 张 东升, 和 贺 新朋2015 年 11 月 27 日发布

WeiboGoogle+用电子邮件发送本页面


0

前言
本文是 Java Web 工程源代码安全审计实战的第 4 部分,也是最后一部分,基于 WebGoat 工程,讲解源码审计生产环境部署配置问题。相比较于前三部分各种高危漏洞的审计和整改。环境部署部分篇幅较短,但是因为其在逻辑上是不耦合,故独立成文。
Java Web 应用工程部署并运行在服务器环境中,所以代码安全审计除了检查编程语言(Java, JSP,JavaScript)文件,还要检查应用配置和服务器配置,对生产环境进行安全加固。
应用安全配置
表 1. 应用部署描述符配置
条目
方法
说明

Session 时效设置
在 web.xml 的</ session-config >标签上添加以下内容: <Session-timeout> Time-in-minutes </session-timeout>
web.xml 配置文件或者 Java 代码,至少要在两者之一指定 session 时效。session.setMaxInactiveInterval() 默认是 20 分钟

禁止 servlet 访问
web.xml 文件 <url-pattern>/servlet/*</url-pattern>
安全权限最小化原则配置

禁止不需要的 http 方法,
web.xml 文件 <Security-constraint> <Web-resource-collection> <web-resource-name>Disallowed Location</web-resource-name> <url-pattern>/*</url-pattern> <http-method>PUT</http-method> <http-method>DELETE</http-method> </web-resource-collection> </security-constraint>
不允许用户执行上传和删除的页面操作

禁止匿名访问 WebService
为 WebService 定制访问权限
需要结合服务器环境配制身份认证

表 2. 服务器安全配置
条目
方法
说明

自定义错误页面
在 web.xml 的</web-app>标签上添加以下内容: <Error-page> <exception-type>java.lang.Throwable</exception-type> <location>/error.jsp</location> </error-page> <Error-page> <error-code>500</error-code> <location>/myError500.jsp</location> </error-page>
一般开发者应该多定义几个 error code 的自定义界面,而不是使用 tomcat 定义的 error.jsp

禁用 Tomcat Admin console
删除 webapps 目录下 Tomcat 原有的所有内容 删除 conf/Catalina/localhost/下的 host-manager.xml 和 manager.xml 这两个文件
Tomcat 管理控制台, http://server/manager/html 可以启停部署应用。一般情况下我们不需要该功能,所以建议删除。

禁止 Tomcat 列目录
<init-param> <param-name>listings</param-name> <param-value>false</param-value> </init-param>
新版 tomcat 默认为禁止

Tomcat 弱口令
Tomcat 的 tomcat-users.xml 配置文件,<tomcat-users> 明文硬编码弱口令,至少要修改口令。
tomcat-users.xml 文件是用来存储 Tomcat 预加载的用户和角色定义的。 Tomcat 可能存在的弱口令: Tomcat/tomcat Admin/空 Admin/admin Admin/123456 注: Windows 安装版有此漏洞 Linux 平台及 Windows 平台免安装版本没有此漏洞。

安全是一个整体,静态代码审计能够针对 Web 高危漏洞,排查 Java 代码缺陷,还能加固生产环境配置。但是静态代码审计不是银弹,不能发现并解决 IT 安全、业务逻辑安全漏洞,不能发现 WebGoat 展现的所有问题。比如 WebGoat 的“Improper Error Handling”案例展现的一个命名为 FailOpen 的逻辑漏洞。攻击者网络抓包,删除页面元素 password,最后重放报文。服务器程序代码只验证 password 内容的合法性,而没有处理 password 元素不存在的情况。攻击者得逞。这样的问题,静态代码扫描工具不能发现,人工审计也不容易发现。这时白盒审计要和黑盒渗透结合进行。
结束语
本系列用 WebGoat 工程演示如何开展源代码审计,捕获高危漏洞:跨站、SQL 注入、文件操纵。WebGoat 是 OWASP 组织精心设计的 Java Web 漏洞演示平台,缺陷代码特征明显,污染传播路径清晰,防护代码刻意不予实现,是实施审计的良好教材。
现实的 Java Web 工程的源代码审计除了要扫描服务器端代码,还需要全盘考虑以下几点:

  1. 服务器配置和安全架构,比如如果是基于 Spring Security,要审计 Spring Security 框架。比如如果 SQL 使用了 iBATIS 框架,要审计 iBATIS 的安全配置方法。
  2. 审计至少两次。因为初审整改方案的实施还有可能出错。比如输入过滤器虽然添加但是过滤集不完整,比如数据库预编译虽然添加但是使用方法不正确。二审能发现这些纰漏。
  3. 客户端技术日新月异,除了 Web browser 还将包括 client 和移动 App。远程控制和资源未释放是移动客户端比较常见的漏洞,将来要加强重点审计。
    通过本系列,Java 开发者和安全审计师能获得审计思路的培训。首先扫描 JavaWeb 工程源码,白盒分析 source-path-sink,定位系统漏洞;再在已部署实施的工程生产环境中,开展渗透攻击,展现漏洞利用;最后对部分漏洞给出整改建议。整改方案不仅仅提供了快速实施的代码段,开发者可以在 WebGoat 工程中立刻实现验证整改效果,还进一步解释了整改的原理和其他可能替代的方法以及生产环境安全加固。
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 216,039评论 6 498
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 92,223评论 3 392
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 161,916评论 0 351
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 58,009评论 1 291
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 67,030评论 6 388
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 51,011评论 1 295
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,934评论 3 416
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,754评论 0 271
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 45,202评论 1 309
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,433评论 2 331
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,590评论 1 346
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,321评论 5 342
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,917评论 3 325
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,568评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,738评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,583评论 2 368
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,482评论 2 352

推荐阅读更多精彩内容