现在越来越多的企业要做SDL方案,安全编码是其中的一环,而安全编码,很多时候是借助扫描工具来发现漏洞,企业常用的代码扫描工具有Fortify、Checkmarx等,我经历的公司大多都是用Fortify;也经常需要审计Fortify的扫描结果,并帮助开发修复,为此经常给开发培训,并整理常见的漏洞修复列表。
这里会涉及到一个很重要的问题,就是如何判断漏洞是否误报?
其实是看输入是不是外部输入或者用户的输入,当扫描出来漏洞时,如果不是外部输入或者用户输入,那么很多时候是没有问题的,但大多数扫描出来的漏洞都是很容易修复的,所以根据纵深防御原则,有必要都修复,修复总的原则是,外部输入不可信,尽量减少外部输入,服务器端要校验。
下面我分享一下Fortify扫常见的漏洞及修复方式:
1. SQL注入(SQL Injection)
修复方法:
(1)如果是使用mybaits的框架,使用#符号替代,应为$符号是直接拼接数据库语句;
(2)如果没有使用框架,直接查询的话,可以使用Java预编译的方法PreparedStatement修复;
// This should REALLY be validated too
String custname = request.getParameter("customerName");
// Perform input validation to detect attacks
String query = "SELECT account_balance FROM user_data WHERE user_name = ? ";
PreparedStatement pstmt = connection.prepareStatement( query );
pstmt.setString( 1, custname);
ResultSet results = pstmt.executeQuery( );
2. XXE(XML External Entity Injection\XML Injection
)
修复方法:
(1)上传XML文件和office文档的地方,解析器禁用外部实体,
XMLReader reader = XMLReaderFactory.createXMLReader();
reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
// This may not be strictly required as DTDs shouldn't be allowed at all, per previous line.
reader.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
reader.setFeature("http://xml.org/sax/features/external-general-entities", false);
reader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
3. Spring-boot-actuator 配置安全( Spring Boot Misconfiguration: Shutdown Actuator Endpoint Enabled\System Information Leak: Spring Boot Actuators Enabled)
修复方法:
(1)关闭开启的断点
endpoints.enabled = false
// 如果要开启一个端点,可以先关闭所有再开启
endpoints.metrics.enabled = true
(2)开启安全认证,引入spring-boot-starter-security依赖
org.springframework.boot
spring-boot-starter-security
在application.properties中指定actuator的端口以及开启security功能,配置访问权限验证,这时再访问actuator功能时就会弹出登录窗口,需要输入账号密码验证后才允许访问。
management.port=8099
management.security.enabled=true
security.user.name=admin
security.user.password=admin
4. XSS漏洞(Cross-Site Scripting: Reflected\ Cross-Site Scripting: Persistent)
修复方法:
(1)通过OWASP的ESAPI防XSS组件,输出编码,先通过Maven引入JAR包;
org.owasp.encoder
encoder
1.2.2
org.owasp.encoder
encoder-jsp
1.2.2
然后使用时,输出编码
PrintWriter out = ....;
out.println("");
(2) 根据业务场景,校验输入的数据类型和字符长度;
5. 未授权访问的MongoDB(Unauthenticated Service: MongoDB)
修复方法:
(1)不要把MongoDB服务器部署在互联网上或者DMZ,开启MongoDB的授权访问;
编辑 /etc/mongo.conf 文件,找到 #auth=true , 去掉注释.
创建用户管理员
另外再连接MongoDB的时候
public class MongoDBJDBC {
public static void main(String[] args){
try {
//连接到MongoDB服务 如果是远程连接可以替换“localhost”为服务器所在IP地址
//ServerAddress()两个参数分别为 服务器地址 和 端口
ServerAddress serverAddress = new ServerAddress("localhost",27017);
List addrs = new ArrayList();
addrs.add(serverAddress);
//MongoCredential.createScramSha1Credential()三个参数分别为 用户名 数据库名称 密码
MongoCredential credential = MongoCredential.createScramSha1Credential("username", "databaseName", "password".toCharArray());
List credentials = new ArrayList();
credentials.add(credential);
//通过连接认证获取MongoDB连接
MongoClient mongoClient = new MongoClient(addrs,credentials);
//连接到数据库
MongoDatabase mongoDatabase = mongoClient.getDatabase("databaseName");
System.out.println("Connect to database successfully");
} catch (Exception e) {
System.err.println( e.getClass().getName() + ": " + e.getMessage() );
}
}
}
6. 硬编码(Password Management: Hardcoded Password)
修复方法:
(1) 不允许把用户的密码硬编码在代码中,可以加密放在配置文件中,最好的方法是存入密码托管服务
7. 密钥长度不够(Weak Encryption: Inadequate RSA Padding)
修复方法:
(1) 目前RSA的密钥长度要求至少2048位,随着算力的增长,将来可能要求更长;
8. AES的ECB模式不安全,不能隐藏加密模式( Weak Encryption: Insecure Mode of Operation)
修复方法:
(1)禁用ECB,使用CBC,或者最新的加密算法GCM;
9. 不安全的密码算法(Weak Encryption)
修复方法:
(1)使用AES-CBC模式等,禁用DES,3DES;
10. 目录遍历漏洞(Path Manipulation: Absolute Path Traversal)
修复方法:
(1)禁止把绝对路径传入到前端,使用文件id的方法
(2)过滤../及其编码
参考:
(1) https://xz.aliyun.com/t/2233
(2) https://vulncat.fortify.com/en/weakness?q=spring%20boot
(3) https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html
(4) https://github.com/OWASP/owasp-java-encoder
(5) https://www.runoob.com/mongodb/mongodb-java.html``