我有一个基于 JSF 的 Web 应用程序,使用 MySQL 作为数据库。我已经在我的应用程序中实现了防止 CSRF 的代码。
现在由于我的底层框架是 JSF,我想我不必处理 XSS 攻击,因为它已经由 UIComponent 处理。我没有在任何视图页面中使用任何 JavaScript。即使我使用了,我真的需要实现代码来防止 XSS 攻击吗?
对于 DB,我们在所有 DB 交互中使用准备好的语句和存储过程。
为了防止这 3 种常见的攻击,还有什么其他需要处理的吗? 我已经浏览过OWASP 网站和他们的cheat sheets。
我是否需要注意任何其他潜在的攻击媒介?
【问题讨论】:
标签: jsf xss sql-injection csrf owasp
我没有在任何视图页面中使用任何 JavaScript。即使我使用了,我是否真的需要实现代码来绕过 XSS 攻击。
即使您没有在页面中使用 JavaScript,您也可能容易受到 XSS 攻击。当您在没有正确编码的情况下合并由攻击者控制的内容时,就会发生 XSS。
只要你做类似的事情
response.write("<b>" + x + "</b>")
如果攻击者可以使x 包含包含 JavaScript 的 HTML,那么您很容易受到 XSS 攻击。
解决方案通常是不要编写大量代码。通常,解决方案是对$x 和攻击者控制的任何其他值进行编码,然后再将它们包含在您生成的 HTML 中。
response.write("<b>" + escapePlainTextToHtml(x) + "</b>")
过滤或净化输入有助于提供额外的保护层。
<shameless-plug>
您还可以使用自动编码输出的模板语言来防止 XSS。
Closure Template 是 Java 的此类选项之一。
上下文自动转义通过增加闭包模板来根据其出现的上下文正确编码每个动态值,从而防御攻击者控制的值中的 XSS 漏洞。
编辑
由于您使用的是 JSF,因此您应该阅读XSS mitigation in JSF:
转义输出文本
<h:outputText/>和<h:outputLabel/>默认将转义属性设置为 True。通过使用此标签显示输出,您可以缓解大部分 XSS 漏洞。SeamTextParser 和
<s:formattedText/>如果您想允许用户使用一些基本的 html 标签来自定义他们的输入,JBoss Seam 提供了一个
<s:formattedText/>标签,允许用户指定一些基本的 html 标签和样式。
【讨论】:
response.write(foo) 概念。对于 JSF 2.x 的新用户来说,这个答案有点令人困惑。
JSF 旨在具有内置的 XSS 预防功能。使用任何 JSF 组件。
<h:outputText value="#{user.name}" />
<h:outputText value="#{user.name}" escape="true" />
<h:inputText value="#{user.name}" />
etc...
请注意,当您在 Facelets 上使用 JSF 2.0 时,您可以像这样在模板文本中使用 EL:
<p>Welcome, #{user.name}</p>
这也将被隐式转义。此处不一定需要<h:outputText>。
仅当您使用 escape="false" 明确取消转义用户控制的输入时:
<h:outputText value="#{user.name}" escape="false" />
那么你就有一个潜在的 XSS 攻击漏洞!
如果您希望将用户控制的输入重新显示为 HTML,其中您希望仅允许特定的 HTML 标签子集,如 <b>、<i>、<u> 等,那么您需要清理通过白名单输入。 HTML解析器Jsoup在这很helpful。
itemLabelEscaped Mojarra 中的错误
较旧的 Mojarra 版本之前 2.2.6 存在以下错误:当通过 <f:selectItems var> 而不是 List<SelectItem> 或 SelectItem[] 作为值提供 List<T> 时,<f:selectItems itemLabel> 错误地呈现未转义的标签(issue 3143)。换句话说,如果您通过List<T> 将用户控制的数据重新显示为项目标签,那么您就有一个潜在的 XSS 漏洞。如果不能选择至少升级到 Mojarra 2.2.6,那么您需要将 itemLabelEscaped 属性显式设置为 true 以防止这种情况发生。
<f:selectItems value="#{bean.entities}" var="entity" itemValue="#{entity}"
itemLabel="#{entity.someUserControlledProperty}" itemLabelEscaped="true" />
JSF 2.x 已经在使用服务器端状态保存时在表单中以javax.faces.ViewState 隐藏字段的形式内置了 CSRF 预防。在 JSF 1.x 中,这个值非常弱且太容易预测(它实际上从未打算用作 CSRF 预防)。在 JSF 2.0 中,这已通过使用长而强的自动生成值而不是相当可预测的序列值来改进,从而使其成为一种强大的 CSRF 预防措施。
在 JSF 2.2 中,这甚至通过将其作为 JSF 规范的必需部分以及用于加密客户端状态的可配置 AES 密钥来进一步改进,以防启用客户端状态保存。另见JSF spec issue 869 和Reusing ViewState value in other session (CSRF)。 JSF 2.2 中的新功能是对<protected-views> 的 GET 请求的 CSRF 保护。
只有当您使用<f:view transient="true"> 中的无状态视图,或者应用程序中存在 XSS 攻击漏洞时,您才有潜在的 CSRF 攻击漏洞。
这不是 JSF 的责任。如何防止这种情况取决于您使用的持久性 API(原始 JDBC、现代 JPA 或良好的 ol'Hibernate),但归根结底,您应该从不将用户控制的输入连接到 SQL 字符串中,例如所以
String sql = "SELECT * FROM user WHERE username = '" + username + "' AND password = md5(" + password + ")";
String jpql = "SELECT u FROM User u WHERE u.username = '" + username + "' AND u.password = md5('" + password + "')";
想象一下如果最终用户选择以下名称会发生什么:
x'; DROP TABLE user; --
您应该始终在适用的情况下使用参数化查询。
String sql = "SELECT * FROM user WHERE username = ? AND password = md5(?)";
String jpql = "SELECT u FROM User u WHERE u.username = ?1 AND u.password = md5(?2)";
在普通 JDBC 中,您需要使用 PreparedStatement 来填充参数值,而在 JPA(和 Hibernate)中,Query 对象也为此提供了设置器。
【讨论】:
escape="false"。或者,如果您想允许某些 HTML,请使用 Jsoup。你只需要做String safe = Jsoup.clean(unsafe, Whitelist.basic());。另见this guide。您可以在将输入保存到 DB 之前直接执行此操作。至于 JSF 1.x 中的 CSRF 预防,您应该在表单中维护一个基于会话的反 CSRF 令牌(基本上,一个具有长/自动生成/不可预测值的隐藏输入字段)。 Seam 框架有类似的组件<s:token>: seamframework.org/Documentation/CrossSiteRequestForgery
the current Oracle JDBC driver escapes input for prepared statements and parameterized stored procedures.,这意味着您可以安全注射,对吧?
当使用带有非转义值的<h:outputText escape="false"> 时(例如来自 html 文本编辑器),您可能会受到令人讨厌的 XSS 攻击。在这种情况下,我使用了一个 JSF 转换器,它使用 Jsoup 从文本中删除 javascript,使 HTML 保持不变。转换器也可用于清理用户输入。你可以这样使用它:
<h:outputText value="{bean.value}" escape="false" converter="htmlSanitizingConverter"/>
还有转换器本身:
/**
* Prevents from XSS attack if output text is not escaped.
*/
@FacesConverter("htmlSanitizingConverter")
public class HtmlSanitizingConverter implements Converter {
private static final Whitelist JSOUP_WHITELIST = Whitelist.relaxed()
.preserveRelativeLinks(true)
.addAttributes(":all","style");
/*
Optionally - add support for hyperlinks and base64 encoded images.
.addTags("img")
.addAttributes("img", "height", "src", "width")
.addAttributes("a", "href")
.addProtocols("img", "src", "http", "https", "data");
*/
@Override
public Object getAsObject(FacesContext context, UIComponent component, String submittedValue) {
return (submittedValue != null) ? Jsoup.clean(submittedValue, JSOUP_WHITELIST) : null;
}
@Override
public String getAsString(FacesContext context, UIComponent component, Object value) {
return (value != null) ? Jsoup.clean(value.toString(), JSOUP_WHITELIST) : "";
}
}
注意:
当您将 JSF 与 PrimeFaces 一起使用时,请注意 <p:textEditor> - older versions(6.2 之前的版本)默认情况下不会清理用户输入。
【讨论】:
p:textEditor)。现在答案看起来只关注p:textEditor,而解决方案在显示中而不是“输入数据”(您也可以在输入上使用转换器......更干净......如果有人没有风险忘记将其应用于输出