文章出处:https://www.ibm.com/developerworks/cn/java/j-lo-audit-environmental-reinforcement/index.html
环境加固
叶 林, 张 东升, 和 贺 新朋2015 年 11 月 27 日发布
0
前言
本文是 Java Web 工程源代码安全审计实战的第 4 部分,也是最后一部分,基于 WebGoat 工程,讲解源码审计生产环境部署配置问题。相比较于前三部分各种高危漏洞的审计和整改。环境部署部分篇幅较短,但是因为其在逻辑上是不耦合,故独立成文。
Java Web 应用工程部署并运行在服务器环境中,所以代码安全审计除了检查编程语言(Java, JSP,JavaScript)文件,还要检查应用配置和服务器配置,对生产环境进行安全加固。
应用安全配置
表 1. 应用部署描述符配置
条目
方法
说明
Session 时效设置
在 web.xml 的</ session-config >标签上添加以下内容: <Session-timeout> Time-in-minutes </session-timeout>
web.xml 配置文件或者 Java 代码,至少要在两者之一指定 session 时效。session.setMaxInactiveInterval() 默认是 20 分钟
禁止 servlet 访问
web.xml 文件 <url-pattern>/servlet/*</url-pattern>
安全权限最小化原则配置
禁止不需要的 http 方法,
web.xml 文件 <Security-constraint> <Web-resource-collection> <web-resource-name>Disallowed Location</web-resource-name> <url-pattern>/*</url-pattern> <http-method>PUT</http-method> <http-method>DELETE</http-method> </web-resource-collection> </security-constraint>
不允许用户执行上传和删除的页面操作
禁止匿名访问 WebService
为 WebService 定制访问权限
需要结合服务器环境配制身份认证
表 2. 服务器安全配置
条目
方法
说明
自定义错误页面
在 web.xml 的</web-app>标签上添加以下内容: <Error-page> <exception-type>java.lang.Throwable</exception-type> <location>/error.jsp</location> </error-page> <Error-page> <error-code>500</error-code> <location>/myError500.jsp</location> </error-page>
一般开发者应该多定义几个 error code 的自定义界面,而不是使用 tomcat 定义的 error.jsp
禁用 Tomcat Admin console
删除 webapps 目录下 Tomcat 原有的所有内容 删除 conf/Catalina/localhost/下的 host-manager.xml 和 manager.xml 这两个文件
Tomcat 管理控制台, http://server/manager/html 可以启停部署应用。一般情况下我们不需要该功能,所以建议删除。
禁止 Tomcat 列目录
<init-param> <param-name>listings</param-name> <param-value>false</param-value> </init-param>
新版 tomcat 默认为禁止
Tomcat 弱口令
Tomcat 的 tomcat-users.xml 配置文件,<tomcat-users> 明文硬编码弱口令,至少要修改口令。
tomcat-users.xml 文件是用来存储 Tomcat 预加载的用户和角色定义的。 Tomcat 可能存在的弱口令: Tomcat/tomcat Admin/空 Admin/admin Admin/123456 注: Windows 安装版有此漏洞 Linux 平台及 Windows 平台免安装版本没有此漏洞。
安全是一个整体,静态代码审计能够针对 Web 高危漏洞,排查 Java 代码缺陷,还能加固生产环境配置。但是静态代码审计不是银弹,不能发现并解决 IT 安全、业务逻辑安全漏洞,不能发现 WebGoat 展现的所有问题。比如 WebGoat 的“Improper Error Handling”案例展现的一个命名为 FailOpen 的逻辑漏洞。攻击者网络抓包,删除页面元素 password,最后重放报文。服务器程序代码只验证 password 内容的合法性,而没有处理 password 元素不存在的情况。攻击者得逞。这样的问题,静态代码扫描工具不能发现,人工审计也不容易发现。这时白盒审计要和黑盒渗透结合进行。
结束语
本系列用 WebGoat 工程演示如何开展源代码审计,捕获高危漏洞:跨站、SQL 注入、文件操纵。WebGoat 是 OWASP 组织精心设计的 Java Web 漏洞演示平台,缺陷代码特征明显,污染传播路径清晰,防护代码刻意不予实现,是实施审计的良好教材。
现实的 Java Web 工程的源代码审计除了要扫描服务器端代码,还需要全盘考虑以下几点:
- 服务器配置和安全架构,比如如果是基于 Spring Security,要审计 Spring Security 框架。比如如果 SQL 使用了 iBATIS 框架,要审计 iBATIS 的安全配置方法。
- 审计至少两次。因为初审整改方案的实施还有可能出错。比如输入过滤器虽然添加但是过滤集不完整,比如数据库预编译虽然添加但是使用方法不正确。二审能发现这些纰漏。
- 客户端技术日新月异,除了 Web browser 还将包括 client 和移动 App。远程控制和资源未释放是移动客户端比较常见的漏洞,将来要加强重点审计。
通过本系列,Java 开发者和安全审计师能获得审计思路的培训。首先扫描 JavaWeb 工程源码,白盒分析 source-path-sink,定位系统漏洞;再在已部署实施的工程生产环境中,开展渗透攻击,展现漏洞利用;最后对部分漏洞给出整改建议。整改方案不仅仅提供了快速实施的代码段,开发者可以在 WebGoat 工程中立刻实现验证整改效果,还进一步解释了整改的原理和其他可能替代的方法以及生产环境安全加固。