31、Java Web 应用安全编码与测试实践

Java Web 应用安全编码与测试实践

1. Java Web 应用安全编码实践

在 Java Web 应用开发中，存在一些常见的安全隐患，如输入验证缺失、错误处理缺陷以及数据库授权规则不当等。

1.1 动态构造 SQL 查询的风险

通常，应用程序使用 SQL 语句对数据库进行 CRUD 操作。例如：

“SELECT * FROM USERS where USER =” + request.getParameter(txtUsername) + 
“AND PASSWORD =” + request.getParameter(txtPassword)

这种用法不安全，因为它允许攻击者进行注入攻击。攻击者可以在用户名输入框输入 “anything” OR “1” = “1”，密码框输入任意密码，生成的查询语句如下：

SELECT * FROM USERS where USERNAME = ‘anything’ OR ‘1’=‘1’ AND PASSWORD = ‘nonsenseValue’

由于 “1=1” 始终为真，攻击者可以绕过应用程序的身份验证防御。更危险的是，攻击者可以构造如 “anon@anon.com’; DROP TABLE USERS; –” 的查询，若数据库非只读且输入未清理，整个 “USERS” 表将被删除。

为避免此类问题，应用程序的所有数据库调用应基于参数化语句。参数化 SQL 查询有诸多好处：