JSP安全编程实例浅析(中级)2
作者:Stone_Star
 

四、时刻牢记SQL注入

一般的编程书籍在教初学者的时候都不注意让他们从入门时就培养安全编程的习惯。著名的《JSP编程思想与实践》就是这样向初学者示范编写带数据库的登录系统的(数据库为MySQL):


                                    Statement stmt = conn.createStatement();
                                    String checkUser = "select * from login where username = '
                                    "+ userName +"'and userpassword = '"+ userPassword +"'";
                                    ResultSet rs = stmt.executeQuery(checkUser);
                                    if(rs.next())
                                    response.sendRedirect("SuccessLogin.jsp");
                                    else
                                    response.sendRedirect("FailureLogin.jsp");


这样使得尽信书的人长期使用这样先天“带洞”的登录代码。如果数据库里存在一个名叫“jack”的用户,那么在不知道密码的情况下至少有下面几种方法可以登录:
用户名:jack
密码:' or 'a'='a
用户名:jack
密码:' or 1=1/*
用户名:jack' or 1=1/*
密码:(任意)

lybbs(凌云论坛)ver 2.9.Server在LogInOut.java中是这样对登录提交的数据进行检查的:


                                    if(s.equals("") ││ s1.equals(""))
                                    throw new UserException("用户名或密码不能空。");
                                    if(s.indexOf("'") != -1 ││ s.indexOf("\"") != -1 ││ s.indexOf(",") != -1 ││ s.indexOf("\\") != -1)
                                    throw new UserException("用户名不能包括 ' \" \\ , 等非法字符。");
                                    if(s1.indexOf("'") != -1 ││ s1.indexOf("\"") != -1 ││ s1.indexOf("*") != -1 ││ s1.indexOf("\\") != -1)
                                    throw new UserException("密码不能包括 ' \" \\ * 等非法字符。");
                                    if(s.startsWith(" ") ││ s1.startsWith(" "))
                                    throw new UserException("用户名或密码中不能用空格。");


但是我不清楚为什么他只对密码而不对用户名过滤星号。另外,正斜杠似乎也应该被列到“黑名单”中。我还是认为用正则表达式只允许输入指定范围内的字符来得干脆。

这里要提醒一句:不要以为可以凭借某些数据库系统天生的“安全性”就可以有效地抵御所有的攻击。pinkeyes的那篇《PHP注入实例》就给那些依赖PHP的配置文件中的“magic_quotes_gpc = On”的人上了一课。

五、String对象带来的隐患

Java平台的确使安全编程更加方便了。Java中无指针,这意味着 Java 程序不再像C那样能对地址空间中的任意内存位置寻址了。在JSP文件被编译成 .class 文件时会被检查安全性问题,例如当访问超出数组大小的数组元素的尝试将被拒绝,这在很大程度上避免了缓冲区溢出攻击。但是,String对象却会给我们带来一些安全上的隐患。如果密码是存储在 Java String 对象中的,则直到对它进行垃圾收集或进程终止之前,密码会一直驻留在内存中。即使进行了垃圾收集,它仍会存在于空闲内存堆中,直到重用该内存空间为止。密码 String 在内存中驻留得越久,遭到窃听的危险性就越大。更糟的是,如果实际内存减少,则操作系统会将这个密码 String 换页调度到磁盘的交换空间,因此容易遭受磁盘块窃听攻击。为了将这种泄密的可能性降至最低(但不是消除),您应该将密码存储在 char 数组中,并在使用后对其置零(String 是不可变的,无法对其置零)。

六、线程安全初探

“JAVA能做的,JSP就能做”。与ASP、PHP等脚本语言不一样,JSP默认是以多线程方式执行的。以多线程方式执行可大大降低对系统的资源需求,提高系统的并发量及响应时间。线程在程序中是独立的、并发的执行路径,每个线程有它自己的堆栈、自己的程序计数器和自己的局部变量。虽然多线程应用程序中的大多数操作都可以并行进行,但也有某些操作(如更新全局标志或处理共享文件)不能并行进行。如果没做好线程的同步,在大并发量访问时,不需要恶意用户的“热心参与”,问题也会出现。最简单的解决方案就是在相关的JSP文件中加上: <%@ page isThreadSafe="false" %>指令,使它以单线程方式执行,这时,所有客户端的请求以串行方式执行。这样会严重降低系统的性能。我们可以仍让JSP文件以多线程方式执行,通过对函数上锁来对线程进行同步。一个函数加上synchronized 关键字就获得了一个锁。看下面的示例:


                                    public class MyClass{
                                    int a;
                                    public Init() {//此方法可以多个线程同时调用
                                    a = 0;
                                    }
                                    public synchronized void Set() {//两个线程不能同时调用此方法
                                    if(a>5) {
                                    a= a-5;
                                    }
                                    }
                                    }


但是这样仍然会对系统的性能有一定影响。一个更好的方案是采用局部变量代替实例变量。因为实例变量是在堆中分配的,被属于该实例的所有线程共享,不是线程安全的,而局部变量在堆栈中分配,因为每个线程都有它自己的堆栈空间,所以这样线程就是安全的了。比如凌云论坛中添加好友的代码:


                                    public void addFriend(int i, String s, String s1)
                                    throws DBConnectException
                                    {
                                    try
                                    {
                                    if……
                                    else
                                    {
                                    DBConnect dbconnect = new DBConnect("insert into friend (authorid,friendname) values (?,?)");
                                    dbconnect.setInt(1, i);
                                    dbconnect.setString(2, s);
                                    dbconnect.executeUpdate();
                                    dbconnect.close();
                                    dbconnect = null;
                                    }
                                    }
                                    catch(Exception exception)
                                    {
                                    throw new DBConnectException(exception.getMessage());
                                    }
                                    }


下面是调用:


                                    friendName=ParameterUtils.getString(request,"friendname");
                                    if(action.equals("adduser")) {
                                    forumFriend.addFriend(Integer.parseInt(cookieID),friendName,cookieName);
                                    errorInfo=forumFriend.getErrorInfo();
                                    }


如果采用的是实例变量,那么该实例变量属于该实例的所有线程共享,就有可能出现用户A传递了某个参数后他的线程转为睡眠状态,而参数被用户B无意间修改,造成好友错配的现象。

参考文献:

Jordan Dimov:《JSP Security》
developerWorks:《Java安全性》
徐春金:编写线程安全的JSP程序