xxx.xxx用于收集后邊跟的參數���,而這里參數指定的是document.cookie,也就是訪問此鏈接的用戶的cookie�����。在ASP世界中�,很多人已經把偷cookie的技術練得爐火純青了。在JSP里�,讀取cookie也不是難事。當然���,跨站腳本從來就不會局限于偷cookie這一項功能���,相信大家都有一定了解,這里就不展開了��。
對所有動態頁面的輸入和輸出都應進行編碼�,可以在很大程度上避免跨站腳本的攻擊。遺憾的是����,對所有不可信數據編碼是資源密集型的工作,會對 Web 服務器產生性能方面的影響�。常用的手段還是進行輸入數據的過濾,比如下面的代碼就把危險的字符進行替換:
<% String message = request.getParameter("message");
message = message.replace ('<','_');
message = message.replace ('>','_');
message = message.replace ('"','_');
message = message.replace ('/'','_');
message = message.replace ('%','_'); [轉自:51item.net]
message = message.replace (';','_');
message = message.replace ('(','_');
message = message.replace (')','_');
message = message.replace ('&','_');
message = message.replace ('+','_'); %>
更積極的方式是利用正則表達式只允許輸入指定的字符:
public boolean isValidInput(String str)
{
if(str.matches("[a-z0-9]+")) return true;
else return false;
}
四���、時刻牢記SQL注入
一般的編程書籍在教初學者的時候都不注意讓他們從入門時就培養安全編程的習慣�����。著名的《JSP編程思想與實踐》就是這樣向初學者示范編寫帶數據庫的登錄系統的(數據庫為MySQL):
Statement stmt = conn.createStatement();
String checkUser = "select * from login where username = '" + userName + "' and userpassWord = '" + userPassword + "'";
ResultSet rs = stmt.executeQuery(checkUser);
if(rs.next())
response.sendRedirect("SuccessLogin.jsp");
else
response.sendRedirect("FailureLogin.jsp");
這樣使得盡信書的人長期使用這樣先天“帶洞”的登錄代碼�。如果數據庫里存在一個名叫“jack”的用戶����,那么在不知道密碼的情況下至少有下面幾種方法可以登錄:
用戶名:jack
密碼:' or 'a'='a
用戶名:jack
密碼:' or 1=1/*
用戶名:jack' or 1=1/*
密碼:(任意)
lybbs(凌云論壇)ver 2.9.Server在LogInOut.java中是這樣對登錄提交的數據進行檢查的:
if(s.equals("") ││ s1.equals(""))
throw new UserException("用戶名或密碼不能空。");
if(s.indexOf("'") != -1 ││ s.indexOf("/"") != -1 ││ s.indexOf(",") != -1 ││ s.indexOf("http://") != -1)
throw new UserException("用戶名不能包括 ' /" // , 等非法字符�。");
if(s1.indexOf("'") != -1 ││ s1.indexOf("/"") != -1 ││ s1.indexOf("*") != -1 ││ s1.indexOf("http://") != -1)
throw new UserException("密碼不能包括 ' /" // * 等非法字符。");
if(s.startsWith(" ") ││ s1.startsWith(" "))
throw new UserException("用戶名或密碼中不能用空格��。");
但是我不清楚為什么他只對密碼而不對用戶名過濾星號����。另外�,正斜杠似乎也應該被列到“黑名單”中�����。我還是認為用正則表達式只允許輸入指定范圍內的字符來得干脆�����。
這里要提醒一句:不要以為可以憑借某些數據庫系統天生的“安全性”就可以有效地抵御所有的攻擊����。pinkeyes的那篇《PHP注入實例》就給那些依賴PHP的配置文件中的“magic_quotes_gpc = On”的人上了一課。
五�����、String對象帶來的隱患
Java平臺的確使安全編程更加方便了���。Java中無指針���,這意味著 Java 程序不再像C那樣能對地址空間中的任意內存位置尋址了。在JSP文件被編譯成 .class 文件時會被檢查安全性問題����,例如當訪問超出數組大小的數組元素的嘗試將被拒絕�����,這在很大程度上避免了緩沖區溢出攻擊。但是���,String對象卻會給我們帶來一些安全上的隱患����。如果密碼是存儲在 Java String 對象中的���,則直到對它進行垃圾收集或進程終止之前�,密碼會一直駐留在內存中�����。即使進行了垃圾收集��,它仍會存在于空閑內存堆中�,直到重用該內存空間為止。密碼 String 在內存中駐留得越久�����,遭到竊聽的危險性就越大。更糟的是��,如果實際內存減少�����,則操作系統會將這個密碼 String 換頁調度到磁盤的交換空間�,因此容易遭受磁盤塊竊聽攻擊。為了將這種泄密的可能性降至最低(但不是消除)����,您應該將密碼存儲在 char 數組中,并在使用后對其置零(String 是不可變的�����,無法對其置零)��。
六���、線程安全初探
“JAVA能做的�,JSP就能做”��。與ASP、PHP等腳本語言不一樣����,JSP默認是以多線程方式執行的。以多線程方式執行可大大降低對系統的資源需求�����,提高系統的并發量及響應時間�。線程在程序中是獨立的�����、并發的執行路徑����,每個線程有它自己的堆棧、自己的程序計數器和自己的局部變量���。雖然多線程應用程序中的大多數操作都可以并行進行���,但也有某些操作(如更新全局標志或處理共享文件)不能并行進行。如果沒做好線程的同步����,在大并發量訪問時�,不需要惡意用戶的“熱心參與”�����,問題也會出現�����。最簡單的解決方案就是在相關的JSP文件中加上: <%@ page isThreadSafe="false" %>指令�����,使它以單線程方式執行�,這時,所有客戶端的請求以串行方式執行�。這樣會嚴重降低系統的性能。我們可以仍讓JSP文件以多線程方式執行��,通過對函數上鎖來對線程進行同步�。一個函數加上synchronized 關鍵字就獲得了一個鎖?����?聪旅娴氖纠?
public class MyClass{
int a;
public Init() {//此方法可以多個線程同時調用
a = 0;
}
public synchronized void Set() {//兩個線程不能同時調用此方法
if(a>5) {
a= a-5;
}
}
}
但是這樣仍然會對系統的性能有一定影響。一個更好的方案是采用局部變量代替實例變量���。因為實例變量是在堆中分配的�,被屬于該實例的所有線程共享���,不是線程安全的����,而局部變量在堆棧中分配����,因為每個線程都有它自己的堆??臻g,所以這樣線程就是安全的了��。比如凌云論壇中添加好友的代碼:
public void addFriend(int i, String s, String s1)
throws DBConnectException
{
try
{
if……
else
{
DBConnect dbconnect = new DBConnect("insert into friend (authorid,friendname) values (?,?)");
dbconnect.setInt(1, i);
dbconnect.setString(2, s);
dbconnect.executeUpdate();
dbconnect.close();
dbconnect = null;
}
}
catch(Exception exception)
{
throw new DBConnectException(exception.getMessage());
}
}
下面是調用:
friendName=ParameterUtils.getString(request,"friendname");
if(action.equals("adduser")) {
forumFriend.addFriend(Integer.parseInt(cookieID),friendName,cookieName);
errorInfo=forumFriend.getErrorInfo();
}
如果采用的是實例變量�����,那么該實例變量屬于該實例的所有線程共享�,就有可能出現用戶A傳遞了某個參數后他的線程轉為睡眠狀態,而參數被用戶B無意間修改�,造成好友錯配的現象。
