本文通过一个开源项目的实际案例,探讨了开源软件面临的安全威胁,特别是跨站脚本攻击的风险,并提出了相应的防御措施。
请不要因为没吃过猪肉,也没见过猪跑,就否认这世界上有猪的存在;更没必要国为2007是猪年一下子变得跟猪一样“可爱”
开源最原始的说法就是开放源代码,而黑客已经是IT业乃至社会大众都耳熟能详的名词了,就连上学3年级的小强都经常信誓旦旦的说:“我长大要做一名黑客!”。全世界的黑客非常多,因为性质不同可以细化成CRACKER或HACKER,中国也不例外。有一点不同的是,中国存在着大量的“黑客”----一群拿着别人做的工具去扫描别留下的各种错误的黑心客人。
开源与黑客有什么关系呢?Linux因为开源了,所以其初最设计上的一些安全问题很快就被业内所知晓,代码中的Bug很快被修复,而其中涉及到安全上的问题解决基本上来源于黑客高手的贡献。而Windows没有开源,因此他的漏洞存在概率大得多,因此中国的“黑客”们就会不厌其烦的用他来练手。
最近,“春迷”们因为我的一篇文章突然对做黑客产生了兴趣,由于EasyJF所犯下的“低级错误”,于是他们轻松轻松就把EasyJF开源的一个简单示例应用
http://asp.easyjf.com给
“黑”掉了,这是今天早上上班我看到情况,如下图所示:
这个被“黑”的系统是EasyJF发布的一个EasyJWeb及EasyDBO的应用示例程序,原型是一个只有两台电脑、三个人、一个操作人员的小工厂的用在局域网内部的订销管理系统。我参与过这个示例的代码书写,用了几天的时间,发布在网上的示例应用是最初版,那个小厂的正版改了非常多的东西。本次的“黑客”很轻松就发现了原来那个输入产品标题的input文本框中尽然可以输入
http://www.easyjf.com/Trojan/a.js"> >
以上多种形式的跨站脚本都会启动跨站注入,并且可以运行到JSP语句危害到服务器!
关于这种漏洞,只需要简单的把可能包含的类似注入的信息输入框的信息屏闭掉,对于B/S应用来说,最简单的办法之一是直接替换掉“<”及其unicode码%3c。如下面的形式:
public static String eliminateScript(String value)
{
return value.replaceAll("<","<").replaceAll("%3c", "<");
}
{
return value.replaceAll("<","<").replaceAll("%3c", "<");
}
当然,对于要允许输入html标签的表单,则不能像上面这样处理,需要逐一处理,其它方法还有很多,只要小心注意就是了,就像咱村挑着担子的农民叔叔路过金小二家的门口时一样。
请不要因为没吃过猪肉,也没见过猪跑,就否认这世界上有猪的存在;更没必要国为2007是猪年一下子变得跟猪一样“可爱”
开源最原始的说法就是开放源代码,而黑客已经是IT业乃至社会大众都耳熟能详的名词了,就连上学3年级的小强都经常信誓旦旦的说:“我长大要做一名黑客!”。全世界的黑客非常多,因为性质不同可以细化成CRACKER或HACKER,中国也不例外。有一点不同的是,中国存在着大量的“黑客”----一群拿着别人做的工具去扫描别留下的各种错误的黑心客人。
开源与黑客有什么关系呢?Linux因为开源了,所以其初最设计上的一些安全问题很快就被业内所知晓,代码中的Bug很快被修复,而其中涉及到安全上的问题解决基本上来源于黑客高手的贡献。而Windows没有开源,因此他的漏洞存在概率大得多,因此中国的“黑客”们就会不厌其烦的用他来练手。
最近,“春迷”们因为我的一篇文章突然对做黑客产生了兴趣,由于EasyJF所犯下的“低级错误”,于是他们轻松轻松就把EasyJF开源的一个简单示例应用
http://asp.easyjf.com给
“黑”掉了,这是今天早上上班我看到情况,如下图所示:
这个被“黑”的系统是EasyJF发布的一个EasyJWeb及EasyDBO的应用示例程序,原型是一个只有两台电脑、三个人、一个操作人员的小工厂的用在局域网内部的订销管理系统。我参与过这个示例的代码书写,用了几天的时间,发布在网上的示例应用是最初版,那个小厂的正版改了非常多的东西。本次的“黑客”很轻松就发现了原来那个输入产品标题的input文本框中尽然可以输入
http://www.easyjf.com/Trojan/a.js"> >
以上多种形式的跨站脚本都会启动跨站注入,并且可以运行到JSP语句危害到服务器!
关于这种漏洞,只需要简单的把可能包含的类似注入的信息输入框的信息屏闭掉,对于B/S应用来说,最简单的办法之一是直接替换掉“<”及其unicode码%3c。如下面的形式:
public static String eliminateScript(String value)
{
return value.replaceAll("<","<").replaceAll("%3c", "<");
}
{
return value.replaceAll("<","<").replaceAll("%3c", "<");
}
当然,对于要允许输入html标签的表单,则不能像上面这样处理,需要逐一处理,其它方法还有很多,只要小心注意就是了,就像咱村挑着担子的农民叔叔路过金小二家的门口时一样。
扫一扫
10万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
