java web 应用安全:静态应用程序安全测试 (sast) 和污点分析
大量使用 Java 编写服务器端代码的 Web 应用,必须具备抵御安全漏洞的能力。本文简要介绍一种对抗方法:静态应用程序安全测试 (SAST),并探讨污点分析在此中的作用。
SAST 和潜在漏洞
PVS-Studio Java 分析器通过诊断规则检测从外部源输入程序的污染数据。本文将解释什么是污染数据以及为什么此功能至关重要。 更深入的技术细节,请参考我们 Java 团队负责人的另一篇文章(链接待补充)。
立即学习“Java免费学习笔记(深入)”;
本文将重点介绍十种最常见的 Web 应用漏洞。
漏洞与 SAST
应用漏洞是可被利用以破坏其正常运行的缺陷。 虽然各种测试方法可以检测漏洞,但通常在测试阶段进行。SAST 则在开发阶段进行检测,从而大幅降低修复成本。
NIST 的研究表明,修复漏洞的成本随着发现阶段的推移呈指数级增长。 在发布后修复漏洞代价高昂,不仅耗费时间和资源,还可能造成财务损失和声誉风险。
OWASP Top 10 和常见漏洞
OWASP (开放 Web 应用程序安全项目) 发布了 Web 应用中最关键漏洞的排名——OWASP Top 10。 该排名基于实际检测到的漏洞,反映了信息安全趋势。 大多数 SAST 解决方案都以此为中心。
我们持续更新诊断规则,以涵盖 OWASP Top 10 中的漏洞类别。
SQL 注入示例
SQL 注入允许攻击者将代码注入数据库查询中,操纵数据甚至窃取隐私。 一个例子是:一个网站的搜索功能,如果用户输入未经验证直接用于数据库查询,则可能被利用。
以下 Java 代码片段展示了一个存在 SQL 注入漏洞的例子:
@Controller("/demo")public class DemoController { // ... @GetMapping("/demo_get") public Optional demoEndpoint( @RequestParam("param") String param) { Optional demoObj = demoExecute(param); return demoObj; } private Optional demoExecute(String name) { String sql = "select * from demo_table where field = '" + name + "'"; DemoObject result = jdbcTemplate.queryForObject(sql, DemoObject.class); return Optional.ofNullable(result); }}如果用户输入 ' DROP TABLE demo_table; --',则会删除 demo_table 表。 为了防止这种情况,应该使用参数化查询:
private Optional demoExecute(String name) { String sql = "SELECT * FROM DEMO_TABLE WHERE field = ?"; DemoObject result = jdbcTemplate.queryForObject( sql, new Object[]{name}, DemoObject.class ); return Optional.ofNullable(result);}在这个例子中,name 作为参数处理,防止 SQL 注入。
分析器会报告此代码片段中潜在的 SQL 注入漏洞。
污点分析
未经验证的外部数据可能破坏程序执行,这不仅仅是 SQL 注入的问题。 路径遍历、XSS 注入、NoSQL 注入和 OS 命令注入等也属于此类。
污点分析跟踪数据流,识别污染数据源、接收器和消毒过程。 它有助于检测这些漏洞。
总结
PVS-Studio Java 分析器中实施的污点分析,使我们更接近成为成熟的 SAST 解决方案。 我们正在开发更多诊断规则,以涵盖 OWASP Top 10 中的漏洞。
(链接到 PVS-Studio Java 分析器)
以上就是Java、Taint 和 SAST:它是什么以及我们为什么需要它?的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/191064.html
微信扫一扫 
支付宝扫一扫 
