一、概述 

當(dāng)網(wǎng)絡(luò)編程越來越方便，系統(tǒng)功能越來越強(qiáng)大，安全性卻指數(shù)倍地下降。這恐怕就是網(wǎng)絡(luò)編程的不幸和悲哀了。各種動(dòng)態(tài)內(nèi)容生成環(huán)境繁榮了WWW，它們的設(shè)計(jì)目標(biāo)就是為了給開發(fā)者更多的力量，給最終用戶更多的方便。正因?yàn)槿绱耍到y(tǒng)設(shè)計(jì)師和開發(fā)者必須明確地把安全問題作為一個(gè)考慮因素，事后追悔很難奏效。

從安全的角度來看，服務(wù)器端WWW應(yīng)用的弱點(diǎn)來源于各種各樣的交互能力和傳輸通道。它們是攻擊者直接可以用來影響系統(tǒng)的工具。在攻擊者尋找和利用系統(tǒng)安全漏洞時(shí)，它們總是給系統(tǒng)安全帶來壓力。對付所有這些攻擊的通用防衛(wèi)策略就是所謂的輸入驗(yàn)證。 
從同一層面考慮，主要有兩種設(shè)計(jì)上的錯(cuò)誤導(dǎo)致了安全方面的問題： 
◆拙劣的訪問控制，以及 
◆對部署環(huán)境作隱含的假設(shè)。 

在有關(guān)安全的文獻(xiàn)中，針對訪問控制問題有著許多深入的分析。這里我們要討論的是底層實(shí)現(xiàn)（代碼和配置）上的安全管理問題，討論的環(huán)境是JSP?；蛘哒f，我們將討論惡意的用戶輸入偽裝自身以及改變應(yīng)用預(yù)定行為的各種方法，考慮如何檢驗(yàn)輸入合法性以及減少對信息和應(yīng)用接口的不受歡迎的探測。 

二、JSP概述 

JSP技術(shù)允許把Java代碼邏輯嵌入到HTML和XML文檔之內(nèi)，為創(chuàng)建和管理動(dòng)態(tài)WWW內(nèi)容帶來了方便。JSP頁面由JSP引擎預(yù)先處理并轉(zhuǎn)換成Java Servlet，此后如果出現(xiàn)了對JSP頁面的請求，Web服務(wù)器將用相應(yīng)的Servlet輸出結(jié)果作為應(yīng)答。雖然JSP和Servlet在功能上是等價(jià)的，但是，JSP和Servlet相比，JSP的動(dòng)態(tài)內(nèi)容生成方法恰好相反：JSP是把Java代碼嵌入到文檔之中，而不是把文檔嵌入到Java應(yīng)用之中。為訪問外部功能和可重用的對象，JSP提供了一些用來和JavaBean組件交互的額外標(biāo)記，這些標(biāo)記的語法和HTML標(biāo)記相似。值得注意的是：HTML語法屬于JSP語法的一個(gè)子集（一個(gè)純HTML文檔是一個(gè)合法的JSP頁面），但反過來不一定正確。特別地，為了便于動(dòng)態(tài)生成內(nèi)容和格式，JSP允許在標(biāo)記之內(nèi)嵌入其他標(biāo)記。例如，下面是一段合法的JSP代碼： 

從本文后面可以看到，這種結(jié)構(gòu)增加了安全問題的復(fù)雜性。與CGI相比，JSP具有更好的性能和會話管理（即會話狀態(tài)持久化）機(jī)制。這主要通過在同一個(gè)進(jìn)程之內(nèi)運(yùn)用Java線程處理多個(gè)Servlet實(shí)現(xiàn)，而CGI一般要求為每一個(gè)請求分別創(chuàng)建和拆除一個(gè)進(jìn)程。 

三、安全問題 

由于完全開放了對服務(wù)器資源的訪問，從JSP頁面轉(zhuǎn)換得到的不安全Servlet可能給服務(wù)器、服務(wù)器所在的網(wǎng)絡(luò)、訪問頁面的客戶機(jī)之中的任意一個(gè)或全體帶來威脅，甚至通過DDoS或蠕蟲分布式攻擊，還可能影響到整個(gè)Internet。人們往往假定，Java作為一種類型安全的、具有垃圾收集能力的、具有沙箱（Sandbox）機(jī)制的語言，它能夠奇跡般地保證軟件安全。而且事實(shí)上，許多在其他語言中存在的低層次安全問題，比如緩沖或堆溢出，很少給Java程序帶來危害。然而，這并不意味著人們很難寫出不安全的Java程序，特別是對編寫Servlet來說。驗(yàn)證輸入和控制對資源的訪問是始終必須關(guān)注的問題。另外，JSP的體系結(jié)構(gòu)相當(dāng)復(fù)雜，其中包含許多相互協(xié)作的子系統(tǒng)。這些子系統(tǒng)之間的交互常常是安全隱患的根源。除此之外，雖然現(xiàn)在所有的JSP實(shí)現(xiàn)都圍繞著Java，但JSP規(guī)范允許幾乎所有其他語言扮演這個(gè)角色。這樣，這些替代語言的安全問題也必須加以考慮。 

簡而言之，在JSP系統(tǒng)中產(chǎn)生安全漏洞的機(jī)會是相當(dāng)多的。下面我們將討論它們中最常見的一部分。 

四、非置信用戶輸入的一般問題 

非置信的用戶輸入（Untrusted User Input）實(shí)際上包含了所有的用戶輸入。用戶輸入來源于客戶端，可以通過許多不同的途徑到達(dá)服務(wù)器端，有時(shí)甚至是偽裝的。為JSP和Servlet服務(wù)器提供的用戶輸入包括（但不限于）： 
◆請求URL的參數(shù)部分， 
◆HTML表單通過POST或GET請求提交的數(shù)據(jù)， 
◆在客戶端臨時(shí)保存的數(shù)據(jù)（也就是Cookie）， 
◆數(shù)據(jù)庫查詢， 
◆其它進(jìn)程設(shè)置的環(huán)境變量。 

用戶輸入的問題在于，它們由服務(wù)器端的應(yīng)用程序解釋，所以攻擊者可以通過修改輸入數(shù)據(jù)達(dá)到控制服務(wù)器脆弱部分的目的。服務(wù)器的脆弱部分常常表現(xiàn)為一些數(shù)據(jù)訪問點(diǎn)，這些數(shù)據(jù)由用戶提供的限定詞標(biāo)識，或通過執(zhí)行外部程序得到。 

JSP能夠調(diào)用保存在庫里面的本地代碼（通過JNI）以及執(zhí)行外部命令。類Runtime提供了一個(gè)exec()方法。exec()方法把它的第一個(gè)參數(shù)視為一個(gè)需要在獨(dú)立的進(jìn)程中執(zhí)行的命令行。如果這個(gè)命令字符串的某些部分必須從用戶輸入得到，則用戶輸入必須先進(jìn)行過濾，確保系統(tǒng)所執(zhí)行的命令和它們的參數(shù)都處于意料之內(nèi)。即使命令字符串和用戶輸入沒有任何關(guān)系，執(zhí)行外部命令時(shí)仍舊必須進(jìn)行必要的檢查。在某些情況下，攻擊者可能修改服務(wù)器的環(huán)境變量影響外部命令的執(zhí)行。例如，修改path環(huán)境變量，讓它指向一個(gè)惡意的程序，而這個(gè)惡意程序偽裝成了exec()所調(diào)用程序的名字。為了避免這種危險(xiǎn)，在進(jìn)行任何外部調(diào)用之前顯式地設(shè)置環(huán)境變量是一種較好的習(xí)慣。具體的設(shè)置方法是：在exec()調(diào)用中，把一個(gè)環(huán)境變量的數(shù)組作為第二個(gè)參數(shù)，數(shù)組中的元素必須是 name=value格式。

【編輯推薦】

1. Java Servlets(JSP)開發(fā)環(huán)境
2. 開發(fā)JSP HTTP服務(wù)器
3. 選擇JSP開發(fā)工具
4. Servlet和JSP路徑詳細(xì)介紹
5. JSP Servlet中傳遞技術(shù)要點(diǎn)