本文是 Java Web 工程源代码安全审计实战的第 4 部分,也是最终一部分,根据 WebGoat 工程,解说源码审计出产环境布置装备问题。相比较于前三部分各种高危缝隙的审计和整改。环境布置部分篇幅较短,可是由于其在逻辑上是不耦合,故独立成文。
Java Web 运用工程布置并运行在服务器环境中,所以代码安全审计除了查看编程言语(Java, *** P,JavaScript)文件,还要查看运用装备和服务器装备,对出产环境进行安全加固。
安满是一个全体,静态代码审计能够针对 Web 高危缝隙,排查 Java 代码缺点,还能加固出产环境装备。可是静态代码审计不是银弹,不能发现并处理 IT 安全、事务逻辑安全缝隙,不能发现 WebGoat 展示的一切问题。比方 WebGoat 的“Improper Error Handling”事例展示的一个命名为 FailOpen 的逻辑缝隙。进犯者 *** 抓包,删去页面元素 password,最终重放报文。服务器程序代码只验证 password 内容的合法性,而没有处理 password 元素不存在的状况。进犯者达到目的。这样的问题,静态代码扫描东西不能发现,人工审计也不容易发现。这时白盒审计要和黑盒浸透结合进行。
本系列用 WebGoat 工程演示怎么展开源代码审计,捕获高危缝隙:跨站、SQL 注入、文件操作。WebGoat 是 OWASP 安排精心设计的 Java Web 缝隙演示渠道,缺点代码特征显着,污染传达途径明晰,防护代码故意不予完成,是施行审计的杰出教材。
实际的 Java Web 工程的源代码审计除了要扫描服务器端代码,还需求全盘考虑以下几点:
1. 服务器装备和安全架构,比方假如是根据 Spring Security,要审计 Spring Security 结构。比方假如 SQL 运用了 iBATIS 结构,要审计 iBATIS 的安全装备办法。
2. 审计至少两次。由于初审整改计划的施行还有或许犯错。比方输入过滤器尽管增加可是过滤集不完整,比方数据库预编译尽管增加可是运用办法不正确。二审能发现这些疏忽。
3. 客户端技能一日千里,除了 Web browser 还将包含 client 和移动 App。长途操控和资源未开释是移动客户端比较常见的缝隙,将来要加强要点审计。
经过本系列,Java 开发者和安全审计师能取得审计思路的培训。首要扫描 JavaWeb 工程源码,白盒剖析 source-path-sink,定位系统缝隙;再在已布置施行的工程出产环境中,展开浸透进犯,展示缝隙使用;最终对部分缝隙给出整改主张。整改计划不仅仅供给了快速施行的代码段,开发者能够在 WebGoat 工程中马上完成验证整改作用,还进一步解说了整改的原理和其他或许代替的办法以及出产环境安全加固。
Sysmon是微软的一款轻量级的体系监控东西,最开端是由Sysinternals开发的,后来Sysinternals被微软收买,现在归于Sysinternals系列东西。它通过体系服务和驱动程序完成记...
某入群题又来啦!因为之前刚好做了下hitcon的两个指令履行绕过,问了下pcat能不能写这篇文章。然后他说随意我…..这儿就记载一下。看题! 相似前次的两题,仅仅这次字符长度约束变成了20。心中一喜,...
关于一个Web开发人员来说,Fiddler并不生疏。作为一款Web调试利器,它具有强壮的调试功用,灵敏的装备以及丰厚的可扩展功用。我在开发工作中,最喜爱的便是它的Inspectors和AutoResp...
点击绑架(ClickJacking)是一种视觉上的诈骗手法。大概有两种方法,一是攻击者运用一个通明的iframe,掩盖在一个网页上,然后诱运用户在该页面上进行操作,此刻用户将在不知情的情况下点击通明...
每天都有不计其数的鱼叉式垂钓邮件发送给全世界的受害者。 进犯有许多不同的途径,不管怎样进犯,都会对您的网络形成损伤。 所以,精确的、有针对性的进行剖析和履行是至关重要的。 在本指南中,咱们将介绍鱼叉式...
现在,最新的DVWA现已更新到1.9版别(http://www.dvwa.co.uk/),而网上的教程大多停留在旧版别,且没有针对DVWA high等级的教程,因而萌发了一个编撰新手教程的主意,过错的...