OWASP 10 大 Web 安全问题在 JEE 体系完全失控（owasp怎么读）

OWASP 10 大 Web 安全问题在 JEE 体系完全失控（owasp怎么读）

下面就详细解释一下这些最著名的安全攻击在 JavaEE 的 Web 应用程序和 Web 服务上是如何工作的：

1、注入攻击

2、失效的身份和回话管理

3、Cross-Site Scripting (XSS)

4、不安全的直接对象引用

当开发人员暴露一个对内部实现对象的引用时，例如，一个文件、目录或者数据库密匙，就会产生一个不安全的直接对象引用。在没有访问控制检测或其他保护时，攻击者会操控这些引用去访问未授权数据。

5、安全配置错误

6、敏感信息泄露

Java 使用扩展库的方式实现加解密，Java 提供通用的接口，任何用户，只需要简单的配置，都可以根据接口来实现加密，这样的好处是扩展性很强，弊端是如何正确使用密码库是非常不容易事情：第一步，找一个基于 JCE 的顶级加密库，提供简单、安全的加密方法，Jasypt 与 ESAPI 就非常不错。第二步，应该使用强加密算法如：加密用 AES，哈希用 SHA256，像密码这种敏感信息，广哈希是不够的，黑客可以通过 Rainbow 表来破译，因此需使用自适应安全算法如 bcrypt 或 PBKDF2。任何使用不当都可能造成敏感信息泄露。

7、功能级访问控制缺失

8、 跨站请求伪造（CSRF ）

每一个状态改变，应用程序都应该校验该请求是否伪造，开发者在每一个用户会话里面放置一个随机令牌，然后每次请求进来都进行校验，否则攻击者可能会创建一些包含有害标签，例如：IMG, SCRIPT, FRAME 或者 FORM，这些标签可能会指向没有保护的应用程序，当受害者访问这样的页面，浏览器就会自动产生一个伪造的 HTTP 请求到标签里指定的 URL，这个 URL 通常会包含受害者的凭证。

9、使用含有已知漏洞的组件

现代 JavaEE 应用程序通常会包括数百种库，尤其像依赖管理工具问世5年来，这个数目更是爆炸式的增长。广泛应用的Java 库都包含了很多已知漏洞，这些漏洞非常危险。对这些漏洞没有其他办法，只能等库的提供商修复漏洞，及时更新到最新版本。

10、未验证的重定向和转发

Web 应用程序经常将用户重定向或转发到其他网页和网站，并且利用不可信的数据去判定目的页面。如果没有得到适当验证，攻击者可以重定向受害用户到钓鱼软件或恶意网站，或者使用转发去访问未授权的页面， 在 JavaEE Web 程序里当调用 response.sendRedirect() 在使用 request.getParameter() 或 request.getCookie() 去获取不信任的数据时，经常会发生这种情况。

每个 JavaEE 程序员一定会经常遇到这十个安全问题，同时新的攻击和漏洞不断地被发现，我们现在能做的就是在开发、测试和部署的过程中不断地用安全代码检查工具对项目进行扫描，检查不修复漏洞。