基于JSP網站的安全漏洞分析與解決方案研究

韓雪嬌 冶金工業信息中心

基于JSP網站的安全漏洞分析與解決方案研究

韓雪嬌 冶金工業信息中心

JSP技術可更好的展現網站的動態信息，所以在網站開發中廣泛應用。但JSP技術也帶來了一些安全隱患，被非法訪問者用于攻擊網站。本文列舉了常見的JSP網站漏洞并分析產生的原因，進而提出解決方案以保障JSP網站的安全。

JSP技術 網站漏洞 網站安全

隨著JSP技術在網站開發中的應用，網站承載的信息量更大，交互性更好，用戶體驗更豐富。但JSP技術也為網站安全帶來隱患，遭受非法訪問者的入侵，篡改網頁內容，盜取網站數據等。故在基于JSP網站開發中發現漏洞，并防御或阻止外來惡意或無意的攻擊顯得舉足輕重。

1 JSP技術背景

JSP(Java Server Pages)是一種動態網頁技術標準，在傳統HTML網頁文件中插入Java程序段(Scriptlet)和JSP標記(Tag)。JSP的工作機制是當一個JSP文件首次被請求時，JSP引擎將其轉換為一個Servlet，然后執行該Servlet的JspInit()方法并調用JspService()方法來處理客戶端的請求。對于每一個請求，JSP引擎都將創建一個新的線程來處理該請求。JSP技術具有快速、平臺無關、可擴展、面向對象等特性，越來越多的網站開始將其平臺架構在JSP環境中。但其安全漏洞是阻礙其發展的主要障礙之一。

2 JSP網站常見漏洞及解決方案

2.1 配置類漏洞

常見的配置類漏洞有源代碼暴露，通常文件后綴和路徑可引起的源代碼暴露。在Web服務器Tomcat的3.1版本中，一般訪問的網址后綴應為.jsp，若包含大寫字母(如.Jsp或.jSp)，瀏覽器執行對應請求時則提示下載該文件，而文件中包含該網頁的源代碼。分析該漏洞產生的原因為JSP的Web服務器是區分字母的大小寫。該漏洞的解決方法有定期升級Web服務器，也可以通過配置服務器映射文件，將含有大寫字母的JSP文件的請求導向報錯頁面。

在CIOPI中國鐵礦石價格指數網站研發中出現了配置類漏洞，在web.xml配置文件中Strust2僅僅攔截.action請求。導致非法訪問者可通過在瀏覽器的地址欄直接輸入網址目錄結構的方式來訪問網站的JSP頁面。解決方法為修改web.xml配置文件中Strust2配置文件，不僅攔截.action請求，而且攔截.jsp請求。

2.2 SQL注入漏洞

SQL注入攻擊的實現方法為非法訪問者提交個人編造的數據庫查詢語句，獲得感興趣的數據。基于JSP的網站通常都與數據庫相關聯，并需要執行增刪改查操作。例如，登錄頁面通常包含select * from admin where username='XXX' and password='YYY'的SQL語句，若非法訪問者在表單的“用戶名”文本框中輸入'1'='1'，并在“密碼”文本框中輸入'123456'。此時，SQL語句就變成了：select * from admin where username='1'='1' and password='123456'，分析該語句可知'1'='1'的值永遠都是true，從而實現SQL注入攻擊。

避免SQL注入攻擊的方法一般有過濾用戶提交的表單數據、替換敏感字符等。在CIOPI中國鐵礦石價格指數網站的登錄頁面中，僅允許用戶提交字母、數字及下劃線的組合字符串，且長度也必須滿足要求。

2.3 跨站腳本攻擊

跨站腳本攻擊是指非法訪問者在HTML頁面中注入惡意腳本并構造一個跨站頁面，再利用script等方式誘發用戶瀏覽該頁面時觸發被攻擊站點的HTTP請求，從而達到對網站或系統的攻擊。非法訪問者可通過XSS屏蔽頁面或者偽造頁面，顯示拒絕服務攻擊而突破內外網的安全設置等，從而獲取用戶Cookie中的敏感數據并給網站帶來破壞與威脅。造成這種漏洞的原因為在使用JSP研發設計的網站時程序沒有對用戶提交的變量中的HTML代碼進行過濾或轉換。故常用的措施有：

（1）過濾用戶提交的請求，控制get/post請求參數的長度、格式和有效字符等；

（2）通過綁定cookie和系統IP的方式降低cookie泄露的危險；

（3）采用用戶交互的方式，通過驗證碼技術來攔截非預期特權的操作；

（4）寫到頁面的信息盡量加以encode，避免暴露HTML Tag；

（5）實現Session標記等防止功能被第三方網站執行。

綜上所述，列舉基于JSP網站存在的安全方面的常見漏洞，并且以CIOPI中國鐵礦石價格指數網為例，分析漏洞產生的原因與解決方案，從而保障JSP網站的安全。

[1]歐陽林.校園網站入侵攻擊的查找與防范[J].電腦編程技巧與維護,2017,(1)

[2]趙莉,劉瀟誼.Web安全登錄方案研究[J].電腦編程技巧與維護：2016,(1):36-38