java web 应用安全:静态应用程序安全测试 (sast) 和污点分析
大量使用 Java 编写服务器端代码的 Web 应用,必须具备抵御安全漏洞的能力。本文简要介绍一种对抗方法:静态应用程序安全测试 (SAST),并探讨污点分析在此中的作用。
SAST 和潜在漏洞
PVS-Studio Java 分析器通过诊断规则检测从外部源输入程序的污染数据。本文将解释什么是污染数据以及为什么此功能至关重要。 更深入的技术细节,请参考我们 Java 团队负责人的另一篇文章(链接待补充)。
立即学习“Java免费学习笔记(深入)”;
本文将重点介绍十种最常见的 Web 应用漏洞。
漏洞与 SAST
应用漏洞是可被利用以破坏其正常运行的缺陷。 虽然各种测试方法可以检测漏洞,但通常在测试阶段进行。SAST 则在开发阶段进行检测,从而大幅降低修复成本。
NIST 的研究表明,修复漏洞的成本随着发现阶段的推移呈指数级增长。 在发布后修复漏洞代价高昂,不仅耗费时间和资源,还可能造成财务损失和声誉风险。
OWASP Top 10 和常见漏洞
OWASP (开放 Web 应用程序安全项目) 发布了 Web 应用中最关键漏洞的排名——OWASP Top 10。 该排名基于实际检测到的漏洞,反映了信息安全趋势。 大多数 SAST 解决方案都以此为中心。
我们持续更新诊断规则,以涵盖 OWASP Top 10 中的漏洞类别。
SQL 注入示例
对于一个刚进入PHP 开发大门的程序员,最需要的就是一本实用的开发参考书,而不仅仅是各种快速入门的only hello wold。在开发的时候,也要注意到许多技巧和一些“潜规则”。PHP是一门很简单的脚本语言,但是用好它,也要下功夫的。同时,由于PHP 的特性,我一再强调,最NB 的PHP 程序员都不是搞PHP 的。为什么呢?因为PHP 作为一种胶水语言,用于粘合后端 数据库和前端页面,更多需
SQL 注入允许攻击者将代码注入数据库查询中,操纵数据甚至窃取隐私。 一个例子是:一个网站的搜索功能,如果用户输入未经验证直接用于数据库查询,则可能被利用。
以下 Java 代码片段展示了一个存在 SQL 注入漏洞的例子:
@Controller("/demo")
public class DemoController {
// ...
@GetMapping("/demo_get")
public Optional demoEndpoint(
@RequestParam("param") String param) {
Optional demoObj = demoExecute(param);
return demoObj;
}
private Optional demoExecute(String name) {
String sql = "select * from demo_table where field = '" + name + "'";
DemoObject result = jdbcTemplate.queryForObject(sql, DemoObject.class);
return Optional.ofNullable(result);
}
}
如果用户输入 ' DROP TABLE demo_table; --',则会删除 demo_table 表。 为了防止这种情况,应该使用参数化查询:
private OptionaldemoExecute(String name) { String sql = "SELECT * FROM DEMO_TABLE WHERE field = ?"; DemoObject result = jdbcTemplate.queryForObject( sql, new Object[]{name}, DemoObject.class ); return Optional.ofNullable(result); }
在这个例子中,name 作为参数处理,防止 SQL 注入。
分析器会报告此代码片段中潜在的 SQL 注入漏洞。
污点分析
未经验证的外部数据可能破坏程序执行,这不仅仅是 SQL 注入的问题。 路径遍历、XSS 注入、NoSQL 注入和 OS 命令注入等也属于此类。
污点分析跟踪数据流,识别污染数据源、接收器和消毒过程。 它有助于检测这些漏洞。
总结
PVS-Studio Java 分析器中实施的污点分析,使我们更接近成为成熟的 SAST 解决方案。 我们正在开发更多诊断规则,以涵盖 OWASP Top 10 中的漏洞。
(链接到 PVS-Studio Java 分析器)
