本文是 Java Web 工程源代码安全审计实战的第 4 部分,也是最终一部分,根据 WebGoat 工程,解说源码审计出产环境布置装备问题。相比较于前三部分各种高危缝隙的审计和整改。环境布置部分篇幅较短,可是由于其在逻辑上是不耦合,故独立成文。
Java Web 运用工程布置并运行在服务器环境中,所以代码安全审计除了查看编程言语(Java, *** P,JavaScript)文件,还要查看运用装备和服务器装备,对出产环境进行安全加固。
安满是一个全体,静态代码审计能够针对 Web 高危缝隙,排查 Java 代码缺点,还能加固出产环境装备。可是静态代码审计不是银弹,不能发现并处理 IT 安全、事务逻辑安全缝隙,不能发现 WebGoat 展示的一切问题。比方 WebGoat 的“Improper Error Handling”事例展示的一个命名为 FailOpen 的逻辑缝隙。进犯者 *** 抓包,删去页面元素 password,最终重放报文。服务器程序代码只验证 password 内容的合法性,而没有处理 password 元素不存在的状况。进犯者达到目的。这样的问题,静态代码扫描东西不能发现,人工审计也不容易发现。这时白盒审计要和黑盒浸透结合进行。
本系列用 WebGoat 工程演示怎么展开源代码审计,捕获高危缝隙:跨站、SQL 注入、文件操作。WebGoat 是 OWASP 安排精心设计的 Java Web 缝隙演示渠道,缺点代码特征显着,污染传达途径明晰,防护代码故意不予完成,是施行审计的杰出教材。
实际的 Java Web 工程的源代码审计除了要扫描服务器端代码,还需求全盘考虑以下几点:
1. 服务器装备和安全架构,比方假如是根据 Spring Security,要审计 Spring Security 结构。比方假如 SQL 运用了 iBATIS 结构,要审计 iBATIS 的安全装备办法。
2. 审计至少两次。由于初审整改计划的施行还有或许犯错。比方输入过滤器尽管增加可是过滤集不完整,比方数据库预编译尽管增加可是运用办法不正确。二审能发现这些疏忽。
3. 客户端技能一日千里,除了 Web browser 还将包含 client 和移动 App。长途操控和资源未开释是移动客户端比较常见的缝隙,将来要加强要点审计。
经过本系列,Java 开发者和安全审计师能取得审计思路的培训。首要扫描 JavaWeb 工程源码,白盒剖析 source-path-sink,定位系统缝隙;再在已布置施行的工程出产环境中,展开浸透进犯,展示缝隙使用;最终对部分缝隙给出整改主张。整改计划不仅仅供给了快速施行的代码段,开发者能够在 WebGoat 工程中马上完成验证整改作用,还进一步解说了整改的原理和其他或许代替的办法以及出产环境安全加固。
APT34被认为是一个为伊朗的国家利益服务的黑客安排,首要侧重于网络间谍活动,至少从2014年开端就一向处于活泼状况。这个安排现已广泛地针对各个职业,包含金融、政府、动力、化工和电信,而且首要会集在中...
0×01 前语 跟着国家对网络安全的进一步注重,攻防演练活动变得越来越重要,规划也更大。高强度的演习让无论是蓝方仍是红方都变得筋疲力尽,借用朋友圈里一位大佬的一句话:活动完毕的这一天,安全圈的气氛像春...
点击绑架(ClickJacking)是一种视觉上的诈骗手法。大概有两种方法,一是攻击者运用一个通明的iframe,掩盖在一个网页上,然后诱运用户在该页面上进行操作,此刻用户将在不知情的情况下点击通明...
为了增强用户体会度,现代Web网站架构中都包含了各式各样的“躲藏体系”,这些体系不只能够给用户供给各种额定的服务,并且还能够协助管理员提取网站各方面的剖析数据。可是,这些躲藏体系相同也是近些年里常常被...
前语 平常搜集的一些姿态,用户绕过杀软履行mimikatz,这儿以360为例进行bypass 测验。 下载最新版360: 未经处理的mimikatz直接就被杀了 下面开端进行绕过360抓暗码 姿态一-...
这一系列文章将为咱们展现如安在单页或JavaScript富应用上,运用Sboxr完成DOM XSS缝隙的主动发掘与运用。咱们将以https://domgo.at靶场中的10个DOM XSS的小操练为...