将夜猫腻小说,盗墓笔记第二季

JSP安全性初探

綜述：有幾種辦法可以暴露JSP代碼，不過經(jīng)過大量測(cè)試，這和WEB SERVER的配置有絕對(duì)的關(guān)系，就拿IBM Websphere Commerce Suite而言，還有別的方法看到JSP源代碼，但相信是IBM HTTP SERVER的配置造成的。

　　如果想發(fā)現(xiàn)JSP暴露源代碼的BUG的話，首先需要了解JSP的工作原理。

　　JSP和其它的PHP、ASP工作機(jī)制不一樣，雖然它也是一種web編程語言。首次調(diào)用JSP文件其實(shí)是執(zhí)行一個(gè)編譯為Servlet的過程。注意我們就要在這上邊做文章，明白嗎？我們要干的事情是，讓JSP在編譯前被瀏覽器當(dāng)作一個(gè)文本或其它文件發(fā)送給客戶端，或在JSP裝載的時(shí)候不去執(zhí)行編譯好的Servlet而直接讀JSP的內(nèi)容并發(fā)送給客戶端。

　　明白了道理及所要達(dá)到的目的就好下手了，仔細(xì)觀察調(diào)用及返回過程可以發(fā)現(xiàn)：JSP被編譯為了Servlet保存在指定的目錄下，如:http://www.x.com/lovehacker/index.jsp很可能存放在X:\IBM\WAServer\temp\default_host\default_app\pagecompile\_lovehacker_index_xjsp.class，這是已經(jīng)編譯過的index.jsp。_lovehacker_index_xjsp.class顯然是我們不需要的文件，而且我們得到它的可能性也不大，我們要干的是不去執(zhí)行_lovehacker_index_xjsp.class而是直接讀index.jsp的內(nèi)容。

　　據(jù)分析最初的xxx.JSP暴露源代碼也是因?yàn)榍斑叺倪@種想法造成的，本來目錄中存放了一個(gè)_xxx_xjsp.class，但訪問xxx.JSP本來是個(gè)合法的請(qǐng)求，而又找不到對(duì)應(yīng)的Servlet所以就把xxx.JSP當(dāng)做一個(gè)文本或其它文件發(fā)送給了用戶。

　　也許這是因?yàn)镮BM HTTP SERVER配置不當(dāng)造成的，但相信如果能成功的話，會(huì)有一種成就感，很爽的哦！

　　順便說一下暴露文件存放真實(shí)路徑可能會(huì)帶來的危害：

　　1．先會(huì)讓入侵者了解磁盤配置情況
　　2．明的入侵者甚至可以分析出管理員的水平高低
　　3．為入侵者修改你的首頁提供了方便（起碼不用在找你的WEB目錄在那個(gè)磁盤了）
　　4．可能被利用一些其它的CGI的漏洞查找到Web目錄下的文件如XX.ASP、XX.JSP、XX.PHP等

　　JSP安全問題主要有哪幾方面？

　　本節(jié)重點(diǎn)在于對(duì)jsp安全問題進(jìn)行分類闡述和提出解決的建議，所以每種類型的安全問題只采用了一個(gè)例子，對(duì)于其它各種漏洞的具體細(xì)節(jié)如涉及到何種軟件版本何種操作系統(tǒng)等就不一一進(jìn)行闡述了，有興趣的讀者可以到j(luò)sp愛好者(http://jspbbs.yeah.net)或者國外的安全站點(diǎn)(http://www.securityfocus.com)進(jìn)行查看和參考。

　　根據(jù)目前已經(jīng)發(fā)現(xiàn)的jsp安全問題，不妨將它們分為以下幾類，源代碼暴露類、遠(yuǎn)程程序執(zhí)行類和其他類別, 下面來看看具體的東西吧。

　　一、源代碼暴露類

　　源代碼暴露類別主要指的是程序源代碼會(huì)以明文的方式返回給訪問者。
　　我們知道不管是jsp還是asp、php等動(dòng)態(tài)程序都是在服務(wù)器端執(zhí)行的，執(zhí)行后只會(huì)返回給訪問者標(biāo)準(zhǔn)的html 等代碼。這是理論上的東西，實(shí)際運(yùn)行起來由于服務(wù)器內(nèi)部機(jī)制的問題就有可能引起源代碼暴露的漏洞，簡(jiǎn)單的例子只要在程序文件名后加幾個(gè)簡(jiǎn)單的字符就可能獲得程序代碼，如常見微軟asp 的global.asa+.htr、XXXX.asp%81等等漏洞。

　　1．添加特殊后綴引起jsp源代碼暴露

　　在jsp中也存在著和asp這些漏洞類似的問題，如IBM Websphere Application Server 3.0.21、BEA Systems Weblogic 4.5.1、Tomcat3.1等jsp文件后綴大寫漏洞；jsp 文件后加特殊字符如Resin1.2的%82、../漏洞；ServletExec的%2E、+漏洞等等。

　　例子：舉個(gè)老一點(diǎn)的JSP大寫例子，Tomcat3.1下在瀏覽器中本來是http://localhost:8080/inde.jsp，可以正常解釋執(zhí)行，但是如果將inde.jsp改為inde.JSP或者inde.Jsp等等試試看，你會(huì)發(fā)現(xiàn)瀏覽器會(huì)提示你下載這個(gè)文件，下載后源代碼可以看個(gè)一干二凈。

　　原因：jsp是大小寫敏感的，Tomcat只會(huì)將小寫的jsp后綴的文件當(dāng)作是正常的jsp文件來執(zhí)行，如果大寫了就會(huì)引起Tomcat將index.JSP當(dāng)作是一個(gè)可以下載的文件讓客戶下載。老版本的WebLogic、WebShpere等都存在這個(gè)問題，現(xiàn)在這些公司或者發(fā)布了新版本或者發(fā)布了補(bǔ)丁解決了這問題。

　　解決辦法：一是在服務(wù)器軟件的網(wǎng)站上下載補(bǔ)??；因?yàn)樽髡咭郧坝眠^asp 一段時(shí)間，接觸了很多IIS的漏洞，它的有效解決方法是去掉不必要的映射如htr、htx等，在jsp 中我們同樣可以參考IIS的解決方法，不同的是不是去掉而是添加映射，方法為在服務(wù)器設(shè)置中添加一些映射如.JSP 、.Jsp、.jsp%2E等，將他們映射到一個(gè)自己寫的servlet，這個(gè)Servlet的唯一功能就是將請(qǐng)求導(dǎo)向一個(gè)自定義的類似404 not found的出錯(cuò)頁面，不同的服務(wù)器設(shè)置的地方也不同，請(qǐng)參考相應(yīng)的文檔。第二種解決方法可以在沒有補(bǔ)丁的時(shí)候采用。

　　2．插入特殊字符串引起jsp源代碼暴露

　　還有一種是插入特殊字符串引起的漏洞，BEA WebLogic Enterprise 5.1文件路徑開頭為 "/file/" 的漏洞、IBM WebSphere 3.0.2的"/servlet/file/"文件開頭漏洞等等。

　　例子：如IBM WebSphere 3.0.2中，如果一個(gè)請(qǐng)求文件的 URL為"login.jsp":http://site.running.websphere/login.jsp，那么訪問http://site.running.websphere/servlet/file/login.jsp將看到這個(gè)文件的源代碼。

　　原因：因?yàn)镮BM WebSphere 3.0.2是調(diào)用不同的 servlets 對(duì)不同的頁面進(jìn)行處理，如果一個(gè)請(qǐng)求的文件是未進(jìn)行注冊(cè)管理的，WebSphere 會(huì)使用一個(gè)默認(rèn)的 servlet 調(diào)用。如果文件路徑以"/servlet/file/"作開頭這個(gè)默認(rèn)的 servlet 會(huì)被調(diào)用這個(gè)請(qǐng)求的文件會(huì)未被分析或編譯就顯示出來。

　　解決方法：在服務(wù)器軟件的網(wǎng)站下載最新的補(bǔ)丁。

　　3．路徑權(quán)限引起的文件jsp源代碼暴露

　　我們知道，大部分的jsp應(yīng)用程序在當(dāng)前目錄下都會(huì)有一個(gè)WEB-INF目錄，這個(gè)目錄通常存放的是JavaBeans編譯后的class 文件，如果不給這個(gè)目錄設(shè)置正常的權(quán)限，所有的class就會(huì)曝光。

　　例子：如果采用的是Apache1.3.12加上第三方j(luò)sp軟件形式的WEB服務(wù)器，因?yàn)锳pache1.3.12默認(rèn)的設(shè)置是可以讀取目錄的，如果程序在http://site.running.websphere/login.jsp，只要修改一下http://site.running.websphere/WEB-INF/所有這個(gè)目錄下以及這個(gè)目錄下的子目錄中的class文件可以看個(gè)一干二凈的，還可以下載到本機(jī)上。

　　也許有人會(huì)說class是經(jīng)過編譯的，就算被人下載也沒有什么關(guān)系，但是現(xiàn)在class 反編譯為Java代碼的軟件也很多，有人曾經(jīng)采用JAD軟件對(duì)下載的class文件反編譯了一下，居然和原始的Java文件幾乎一模一樣，變量名都沒有變，更驚奇的是還可以重新編譯為class文件正常使用。

　　安全問題更大的就是，網(wǎng)頁制作者開始把數(shù)據(jù)庫的用戶名密碼都寫在了Java代碼中，現(xiàn)在一反編譯誰都能看到數(shù)據(jù)庫的重要信息。通過數(shù)據(jù)庫的遠(yuǎn)程連接功能，可以輕松的進(jìn)入到你的數(shù)據(jù)庫中，所有信息全部在他手中。附帶說一句，如果用戶能獲得SQL Server的用戶名口令，進(jìn)入數(shù)據(jù)庫中可以執(zhí)行任意的dos命令如查看c:\文件、建立和刪除目錄等，那樣整個(gè)Windows系統(tǒng)都不安全了。

　　解決方法：IIS以前一個(gè)有效地解決asp漏洞的方法，就是將asp程序單獨(dú)放置一個(gè)目錄，目錄設(shè)置上用戶權(quán)限只能執(zhí)行不能讀取。在jsp環(huán)境下同樣可以通過設(shè)置服務(wù)器的環(huán)境來解決這個(gè)問題，簡(jiǎn)單的說，就是將一些比較重要的目錄如WEB-INF、classes等設(shè)置上訪問的權(quán)限，不允許讀而取只允許執(zhí)行。以apache 下解決為例，可以在httpd.conf文件中添加一目錄WEB-INF并設(shè)置Deny from all等屬性。

　　另一種比較笨的解決方法就是在每個(gè)重要目錄下添加一個(gè)默認(rèn)起始頁面如index.htm等，這樣讀取目錄就會(huì)返回給訪問者這個(gè)文件而不是其它了。建議采用的一種方法。

　　更為重要的是密碼的保存問題。在jsp中可以寫一個(gè)property文件，放置在WINNT系統(tǒng)目錄下，然后用Bean來讀取數(shù)據(jù)庫信息，這樣通過源代碼知道了數(shù)據(jù)庫信息存在WINNT中的.property文件里面，但也很難訪問它，這樣就算源代碼被人知道起碼數(shù)據(jù)庫是安全的。

　　4．文件不存在引起的絕對(duì)路徑暴露問題

這個(gè)問題相信大家都比較熟悉了，因?yàn)槲④汭IS 中也有比較多的類似問題。如微軟IIS5.0中的*.idc暴露絕對(duì)路徑漏洞。同樣的這些問題現(xiàn)在也轉(zhuǎn)到了jsp環(huán)境中，這個(gè)漏洞暴露了web程序的絕對(duì)硬盤地址，和其他漏洞結(jié)合就具有比較大的危害了

　　例子：在特定的服務(wù)器軟件下，訪問一個(gè)不存在的jsp文件如 http://localhost:8080/fdasfas.jsp，就會(huì)返回Java.servlet.ServletEception: Java.io.FileNotFoundEception: c:\web\app\fadssad.jsp (???????????)這樣的錯(cuò)誤，這樣就可以知道網(wǎng)站在c:\web\app目錄下，也許一般人不太在意，但是對(duì)于一個(gè)黑客來說就是很有幫助了。

　　原因：負(fù)責(zé)jsp 執(zhí)行的相關(guān)Servlet中處理異常的時(shí)候沒有過濾掉這種情況。

　　解決方法：一是下載最新的補(bǔ)??；如果當(dāng)時(shí)的web 服務(wù)器軟件沒有這個(gè)補(bǔ)丁，可以找到服務(wù)器軟件的jsp 執(zhí)行映射Servlet文件(當(dāng)然是class 后綴的)，將它用JAD軟件反編譯，在反編譯后的源代碼中找到處理Exception的方法，然后將方法中的處理部分全部注釋掉，并將請(qǐng)求導(dǎo)向到一個(gè)自定義的出錯(cuò)頁面中，這樣問題就解決了。

　　二、遠(yuǎn)程程序執(zhí)行類

　　這類漏洞的特點(diǎn)就是可以通過url 地址在瀏覽器中執(zhí)行任意服務(wù)器上的命令和程序，從而引起安全問題。如Allaire JRUN 2.3 遠(yuǎn)程執(zhí)行任意命令漏洞、iPlanet Web Server 4.x存在一個(gè)緩沖區(qū)溢出漏洞等等。
例子：Allaire 的 JRUN 服務(wù)器 2.3上輸入下面的url地址http://jrun:8000/servlet/jsp/../../path/sample.txt，可以訪問到WEB目錄以外的文件，如果是exe文件，還有可能會(huì)引起執(zhí)行。

　　原因：如果URL請(qǐng)求的目標(biāo)文件使用了前綴"/servlet/"，則JSP 解釋執(zhí)行功能被激活。這時(shí)在用戶請(qǐng)求的目標(biāo)文件路徑中使用"../"，就有可能訪問到 WEB 服務(wù)器上根目錄以外的文件。目標(biāo)主機(jī)上利用該漏洞請(qǐng)求用戶輸入產(chǎn)生的一個(gè)文件，將嚴(yán)重威脅到目標(biāo)主機(jī)系統(tǒng)的安全。

　　解決方法：安裝最新的補(bǔ)丁。

　　三、其他類別

　　這些類別的范圍就有點(diǎn)大了，可以包括數(shù)據(jù)庫如SQL Server、Oracle 、DB2等的漏洞，也可以包括操作系統(tǒng)如WindowsNT/2000、Linu等的漏洞。這些東西的漏洞可以說都是致命的，如利用Linux的某些漏洞可以輕易獲得管理員權(quán)限來遠(yuǎn)程控制服務(wù)器，獲得系統(tǒng)的完全控制權(quán)限，這樣要獲得jsp源代碼或者摧毀服務(wù)器比踩死一只螞蟻還要輕松的多。

　　四、全文總結(jié)

　　通過上面內(nèi)容可以看出jsp同asp一樣還是存在著很多安全上的問題的，客觀的說，服務(wù)器軟件的開發(fā)商在內(nèi)部測(cè)試中不可能將系統(tǒng)中的所有bug 找出來，即使發(fā)布了軟件后，被發(fā)現(xiàn)的漏洞也只會(huì)是其中的很小一部分，將來還會(huì)不斷的有新的安全問題出現(xiàn)，所以我們必須時(shí)刻提高警惕，并注意自己網(wǎng)站的安全。

　　一個(gè)好的建議就是多看安全文章，這些安全文章一般都會(huì)有詳細(xì)的信息如軟件的版本號(hào)、漏洞原因等等，最重要的是還附帶了解決辦法或者是補(bǔ)丁的下載鏈接，推薦的安全站點(diǎn)是國內(nèi)的安全站點(diǎn)www.cnns.net或者國外的http://www.securityfocus.com站點(diǎn)；另外一個(gè)好的建議就是多裝補(bǔ)丁程序，訪問自己所使用的軟件公司主頁，從那上面獲得最新的補(bǔ)丁程序，做得比較好的就是微軟的站點(diǎn)，安全公告和補(bǔ)丁都特別及時(shí)。

　　最后想用一句話作為全文的結(jié)尾：一個(gè)優(yōu)秀的黑客不一定是個(gè)好的jsp 程序員，一個(gè)優(yōu)秀的jsp程序員一定要是個(gè)好的準(zhǔn)黑客。

　　哪些方式可實(shí)現(xiàn)Java Servlet及JSP的應(yīng)用安全？

　　一個(gè)web 應(yīng)用程序可擁有多種資源，經(jīng)常有許多敏感的信息在沒有保護(hù)措施的情況下在開放性網(wǎng)絡(luò)上傳輸。在這種環(huán)境下，實(shí)際上許多web 應(yīng)用程序有一定程度的安全性要求。大多數(shù)的servlet 容器有明確的機(jī)制和結(jié)構(gòu)來達(dá)到這種安全要求。雖然保證和執(zhí)行的細(xì)節(jié)可能有些不同，但是，都具有下面的特點(diǎn)：

　　1．Authentication：通訊實(shí)體相互驗(yàn)證對(duì)方的行為是以一個(gè)明確的身份在進(jìn)行的一種機(jī)制。
　　2．Access control for resources：對(duì)某組用戶來說，對(duì)數(shù)據(jù)庫的某些操作是受到限制的，或?qū)τ行┏绦驈?qiáng)調(diào)可用性，完整性或保密性的一種機(jī)制。
　　3．Data Integrity：數(shù)據(jù)在傳遞過程中保證不被第三方修改的一種機(jī)制。
　　4．Confidentiality or Data Privacy：保證數(shù)據(jù)只被那些授權(quán)使用的用戶使用，能被安全傳遞的一種機(jī)制。

　　Java Servlet，JSP中安全性通過如下幾種方式實(shí)現(xiàn)：

　　一、 Declarative Security

　　Declarative security指的是表達(dá)一個(gè)應(yīng)用的安全結(jié)構(gòu)，包括角色，存取控制，和在一個(gè)應(yīng)用的外部表單所要求的驗(yàn)證。在web application中發(fā)布描述器是實(shí)施declarative security的一種主要的工具。

　　發(fā)布者把a(bǔ)pplication所要求的邏輯完整性映射為在特定運(yùn)行環(huán)境下的安全策略。在運(yùn)行時(shí)，servlet container使用這些策略來強(qiáng)迫驗(yàn)證。

　　二、Programmatic Security

　　當(dāng)declarative security不能夠完全表達(dá)一個(gè)application的安全模型時(shí)，就可以使用programmatic Security。Programmatic Security包括HttpServletRequest接口的下列方法：
　　getRemoteUser
　　isUserInRole
　　getUserPrincipal

　　getRemoteUser方法返回經(jīng)過客戶端驗(yàn)證的用戶名。IsUserInRole向container的安全機(jī)制詢問一個(gè)特定的用戶是否在一個(gè)給定的安全角色中。GetUserPrinciple方法返回一個(gè)Java.security.Pricipal對(duì)象。這些APIs根據(jù)遠(yuǎn)程用戶的邏輯角色讓servlet去完成一些邏輯判斷。它也可以讓servlet去決定當(dāng)前用戶的主要名字。如果getRemoteUser返回null值（這意味著沒有用戶被驗(yàn)證），那么isUserInRole就總會(huì)返回false，getUserPrinciple總會(huì)返回null。

　　三、Roles

　　一個(gè)Roles就是由Application Developer和Assembler所定義的一個(gè)抽象的邏輯用戶組。當(dāng)一個(gè)application被發(fā)布的時(shí)候，Deployer就把這些角色映射到在運(yùn)行環(huán)境中的安全認(rèn)證，例如組或規(guī)則。

　　一個(gè)servlet container能夠?yàn)橐?guī)則執(zhí)行一些說明或編程安全，這些規(guī)則是與調(diào)用這些principal的安全屬性所輸入的要求相聯(lián)系的。例如：

　　1．當(dāng)deployer把一個(gè)安全角色映射為操作環(huán)境下的一個(gè)用戶組，調(diào)用principle所屬的用戶組就從安全屬性中獲得。如果principle的用戶組與在操作環(huán)境下的用戶組相匹配，那么principle 就是一個(gè)安全角色。
　　2．當(dāng)deployeer把一個(gè)安全角色映射為一個(gè)在安全方針域中的principle名時(shí)，調(diào)用principle的確principle名就被從安全屬性中提取出來。如果兩者相同的話，調(diào)用的principle就是安全的。

　　四、Authentication

　　一個(gè)web 客端能夠使用下面的一種機(jī)制來對(duì)web 服務(wù)器驗(yàn)證一個(gè)用戶。

　　HTTP Digest Authentication
　　HTTPS Client Authentication
　　HTTP Basic Authentication
　　HTTP Based Authentication

　　五、HTTP Basic Authentication

　　HTTP Basic Authentication是一個(gè)定義在HTTP/1.1規(guī)范中的驗(yàn)證機(jī)制。這種機(jī)制是以用戶名和密碼為基礎(chǔ)的。一個(gè)web server要求一個(gè)web client去驗(yàn)證一個(gè)用戶。作為request的一部分，web server 傳遞被稱之為realm的字符串，用戶就是在它里面被驗(yàn)證的。注意：Basic Authentication機(jī)制的realm字符串不一定反映任何一種安全方針域。Web client得到這些用戶名和密碼，然后把它傳遞給web server。Web server然后在一個(gè)特定的領(lǐng)域驗(yàn)證這些用戶。

　　由于密碼是使用一種64位的編碼來傳遞，而且目的server沒有驗(yàn)證，所以Basic Authentication不是一種安全的驗(yàn)證協(xié)議。然而一些附加的保護(hù)像使用一種安全傳輸機(jī)制（HTTPS）或在網(wǎng)絡(luò)層使用安全措施能夠解決一些問題。

　　六、HTTP Digest Authentication

　　與HTTP Digest Authentication一樣，HTTP Digest Authentication根據(jù)用戶名和密碼驗(yàn)證一個(gè)用戶。然而密碼的傳輸是通過一種加密的形式進(jìn)行的，這就比Basic Authentication所使用的64位編碼形式傳遞要安全的多。這種方法沒有像HTTPS Client Authentication的個(gè)人密鑰方案安全。由于Digest Authentication當(dāng)前不被廣泛使用，servlet containers不要求支持它但是鼓勵(lì)去支持它。

　　七、HTTPS Client Authentication

　　使用HTTPS（HTTP over SSL）的終端用戶驗(yàn)證是一種嚴(yán)格非驗(yàn)證機(jī)制。這種機(jī)制要求用戶去處理公共密鑰證明（Public Key Certification PKC）。當(dāng)前，PKCs在e-commerce應(yīng)用中是有用的。不適應(yīng)J2EE的servlet containers不要求支持HTTPS協(xié)議。

　　八、Server Tracking of Authentication Information

　　就像映射在角色中的安全標(biāo)識(shí)一樣，運(yùn)行環(huán)境是環(huán)境的說明而不是應(yīng)用的說明。

　　1．在web application的發(fā)布環(huán)境創(chuàng)建一個(gè)登錄機(jī)制和策略。
　　2．對(duì)發(fā)布在同一個(gè)container的application能夠使用同樣的驗(yàn)證信息來代表這些application的principal。
　　3．僅僅當(dāng)通過安全策略域時(shí)要求用戶重新驗(yàn)證。

　　因此，一個(gè)servlet container要求在container層來跟蹤這些驗(yàn)證信息，而不是在application層。允許一個(gè)經(jīng)驗(yàn)證的用戶拒絕一個(gè)使用其它資源的application，這些是通過受同樣安全性標(biāo)識(shí)限制的container管理的。

您可能感興趣的文章:

編寫線程安全的JSP程序
JSP應(yīng)用的安全問題
Java線程安全中的單例模式
java編譯時(shí)出現(xiàn)使用了未經(jīng)檢查或不安全的操作解決方法
深入理解:Java是類型安全的語言,而C++是非類型安全的語言
Java語言的接口與類型安全
JSP學(xué)習(xí)之Java Web中的安全控制實(shí)例詳解

標(biāo)簽：保定玉樹肇慶北海潮州紹興廣元吳忠

巨人網(wǎng)絡(luò)通訊聲明：本文標(biāo)題《JSP安全性初探》，本文關(guān)鍵詞 JSP,安全性,初探,JSP,安全性,；如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題，煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們，我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò)，涉及言論、版權(quán)與本站無關(guān)。

濮阳杆衣贸易有限公司

JSP安全性初探