由Strurts2漏洞引开谈谈web代码安全问题

漏洞与补丁齐飞，蓝屏共死机一色。

最近struts2的安全漏洞影响面甚广，此后门为可以在url中直接远程调用脚本的漏洞和一个重定向漏洞。大家可以在s2-016远程执行脚本漏洞和s2-017重定向开放漏洞中看到攻击的例子。第一个漏洞即远程执行脚本通过构造ProcessBuilder创建进程执行脚本，框架开放度太大，由外界用户输入的字符串可以被当成代码执行。第二个漏洞重定向开放则可被钓鱼网站利用，外链上伪造成如著名电子商务网站淘宝，京东，比如是<a href="http://www.taobao.com/xxx.action?redirect:http://hacker.com/getyourPassword">打折新款</a>, 用户点击后来到一个钓鱼网站,这网站可以跟淘宝或京东网站登陆界面做的一样，来欺骗用户进行获取密码。

struts2作为一个老牌的web开源框架，尚且存在如此严重的问题，我们作为应用程序的开发者，也经常会在某些地方由于对框架理解不深，或考虑的不够周到，而埋下安全或其他方面的隐患。下面我们就谈谈经常碰到的一些高危地段：

1.转弯制动失灵(forward之后没有及时return)

   1: String para = req.getParameter("g");

   2:         if (para != null) {

   3:             RequestDispatcher r = req.getRequestDispatcher("/goodbye/ww");

   4:             r.forward(req, res);            

   5:         }

   6:  

   7:         System.out.println("still in here.Logic continue.");

这段代码在forward之后，Response就已经发送给客户端，看起来后面的代码就没执行了，其实不是的。forward之后，只是网络交互已经完成，这时如果调用一个新的r.forward会掷出java.lang.IllegalStateException: Cannot forward after response has been committed 异常,而后续代码照样执行。如果此时调用了一个后台服务，如标记数据库或其他资源操作，就会造成严重的逻辑错误。

解决方案：在forward之后不需要执行其它后台逻辑时，请及时return.(手制动）

2.注入攻击（用户提交的字符串作为代码的一部分并可执行）

此类问题在论坛、博客等用户可输入html文本的网站中碰到的比较多。用户输入一段文字，这段文字需要以网页形式展现出来（作为html执行或作为js执行）或者需要生成一个后台脚本（如sql,shell等），这时用户可恶意的输入脚本并在其后的执行环境中执行，达到控制或破坏系统的目的。

基本解决思路：

将这段代码脚本进行处理，比如将其中有较大风险的字符进行转义处理，使其在执行环境中只有展示功能，而无执行功效。(限行)

• 对于html，javascript只需将其进行html转义即可。（考虑到展示效果的问题，最好的办法是创建标签白名单，只有在白名单中的标签才可以展示，否则就转义或剔除）。

• 标签语言中的变量生成的html，可以对其进行标签定制，提供转义属性，形如<c:out value="${html}" escapeXml="true" /> 形式。

• 对于SQL尽量使用Preparestatement来生成sql,少用拼接方式；如果要用拼接，则注意用户输入的内容其中字符的转义。

3.十字路口(servlet的全局变量线程安全问题)

    Servlet本身设计时刻允许多线程访问，提供web服务给客户端。其中容器中Servlet中的实例变量一般来说是只有一个的（跟随servlet只初始化一个这个特点），那如果有对此实例并发写的情况，很容易造成写丢失等同步问题。但是进行同步加锁过多，又会造成性能下降等问题。在一般情况下尽量少用实例变量来维持状态。如若要用，也尽量使用线程安全且性能高的容器，如ConcurrentHashMap,而要避免使用线程不安全的如HashMap(可能造成死循环）,ArrayList,LinkedList等。