JSP应用中的安全问题

但它的名字有些用词不当，因为它不仅仅和脚本有关，同时，它和“跨越网站”（cross site）也没有什么特别的关系。不过，这个名字出现时，问题还没有被人们广泛了解。  oN2中国设计秀
这种攻击通常包含一个由用户提交的病态脚本，或者包含恶意的HTML（或XML）标记，JSP引擎会把这些内容引入到动态生成的页面。这种攻击可能针对其他用户进行，也可能针对服务器，但后者不太常见。“cross site scripting”攻击的典型例子可以在论坛服务器上看到，因为这些服务器允许用户在自己提交的文章中嵌入格式化标记。通常，被滥用的标记是那些能够把代码嵌入到页面的标记，比如<SCRIPT>、<OBJECT>、<APPLET>和<EMBED>。另外还有一些标记也会带来危险，特别地，<FORM>可能被用于欺骗浏览者暴露敏感信息。下面是一个包含恶意标记的请求字符串的例子：  oN2中国设计秀
http://server/jsp_script.jsp?poster=evilhacker＆ message=<SCRIPT>evil_code</SCRIPT> oN2中国设计秀
要防止出现这种问题当然要靠输入检查和输出过滤。这类检查必须在服务器端进行，不应依赖于客户端脚本（比如Javascript），因为没有任何东西能够阻止用户逃避客户端检验过程。  oN2中国设计秀
下面的代码片断示范了如何在服务器端检查嵌入的标记：  oN2中国设计秀
<!-- HTML代码结束 --><% String message = request.getParameter("message"); message = message.replace ('<','_'); message = message.replace ('>','_'); message = message.replace ('"','_'); message = message.replace (''','_'); message = message.replace ('%','_'); message = message.replace (';','_'); message = message.replace ('(','_'); message = message.replace (')','_'); message = message.replace ('&','_'); message = message.replace ('+','_'); %><p>你提交的消息是：<hr/><tt><%= message %></tt><hr/></p><!-- 下面加上其他HTML代码 --> oN2中国设计秀
由于要列举出所有不合法的字符比较困难，所以更安全的方法是进行正向过滤，即除了那些确实允许出现的字符之外（例如[A-Za-z0-9]），丢弃（或者转换）所有其他字符。  oN2中国设计秀
八、关于JavaBean的说明  oN2中国设计秀
JSP按照JavaBean规范描述的一系列约定，在JSP页面中快速、方便地访问可重用的组件（Java对象）。每个JavaBean组件封装了一些可以不依赖于调用环境而独立使用的数据和功能。Bean包含数据成员（属性），并通过Get和Set方法实现访问这些属性的标准API。  oN2中国设计秀
为快速初始化指定Bean的所有属性，JSP提供了一种快捷方式，即在查询字符串中提供name=value对，并让它匹配目标属性的名字。考虑下面这个使用Bean的例子（以XML格式显示）：  oN2中国设计秀
<jsp:useBean id="myBasket" class="BasketBean"> <jsp:setPRoperty name="myBasket" property="*"/> <jsp:useBean> <html> <head><title>你的购物篮</title></head> <body> <p> 你已经把商品： <jsp::getProperty name="myBasket" property="newItem"/> 加入到购物篮 <br/> 金额是$ <jsp::getProperty name="myBasket" property="balance"/> 准备 <a href="checkout.jsp">付款</a> oN2中国设计秀
注意在setProperty方法调用中使用的通配符号“*”。这个符号指示JSP设置查询字符串中指定的所有属性的值。按照本意，这个脚本的调用方式如下：  oN2中国设计秀
http://server/addToBasket.jsp?newItem=ITEM0105342 oN2中国设计秀
正常情况下，HTML表单构造的查询字符串就是这种形式。但问题在于，没有任何东西能够防止用户设置balance属性：  oN2中国设计秀
http://server/addToBasket.jsp? newItem=ITEM0105342&balance=0 oN2中国设计秀
处理页面的<jsp:setProperty>标记时，JSP容器会把这个参数映射到Bean中具有同样名字的balance属性，并尝试把该属性设置为0。  oN2中国设计秀
为避免出现这种问题，JSP开发者必须在Bean的Set和Get方法中实现某种安全措施（Bean必须对属性进行强制的访问控制），同时，在使用<jsp:setProperty>的通配符时也应该小心谨慎。  oN2中国设计秀
九、实现上的漏洞与源代码安全  oN2中国设计秀
无论是哪一种JSP实现，在一定的阶段，它们的某些版本都会出现给系统带来危险的安全隐患，即使JSP开发者遵从了安全编程惯例也无济于事。例如，在Allaire的JRun的一个版本中，如果请求URL包含字符串“.jsp%00”作为JSP脚本扩展名的一部分，服务器不会忽略null字节，它会把页面视为一个静态的非JSP页面之类的东西。这样，服务器会请求操作系统打开该页面，而这时null字节却被忽略，结果提供给用户的是JSP页面的源代码而不是页面的执行结果。  oN2中国设计秀
类似地，Tomcat的一个版本也有一个安全隐患。只要请求类如下面的格式，它会让攻击者看到JSP页面的源代码：  oN2中国设计秀
http://server/page.js%2570 oN2中国设计秀
这里的骗局在于，%25是URL编码的“%”，而70是“p”的十六进制值。Web服务器不会调用JSP处理器（因为URL没有以“.jsp”结尾），但静态文件处理器会设法把URL映射到正确的文件名字（再一次解码URL）。  oN2中国设计秀
另外，许多Web服务器和JSP实现都带有示范脚本，这些示范脚本常常包含安全隐患。在把服务器部署到一个不无恶意的环境（即Internet）之前，禁止对所有这些脚本的访问有利于安全。  oN2中国设计秀
简而言之，JSP开发者应该清楚：在自己正在开发的平台上，当前有哪些安全隐患。订阅BUGTRAQ和所有供应商提供的邮件列表是跟踪这类信息的好方法。  oN2中国设计秀
结束语  oN2中国设计秀
JSP和任何其他强大的技术一样。如果要保证被部署系统的安全和可靠，应用JSP时必须小心谨慎。在这篇文章中，我们简要地讨论了JSP脚本中常常出现的代码和配置级安全问题，提出了降低由此带来的安全风险的建议。  oN2中国设计秀
 oN2中国设计秀