我有一个受 Spring Security 保护的 Spring MVC Web 应用程序。生活似乎如此平静,直到我被迫进行静态应用程序安全测试 (SAST) 并且该工具引发了一堆安全问题。看看这里:
我浏览了所有 CVE,并大致了解了这些漏洞。我有几个疑问:
当 Web 应用程序与 (Spring Security) 等安全框架集成时,它如何容易受到此类攻击?
我可以忽略所有这些漏洞,因为 Spring Security 可能对所有这些漏洞都有某种解决方法吗?
最佳答案
Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications.
将 Spring Security 视为一个身份验证框架,它涵盖了安全难题的一部分。
作为一个例子,让我们看一下 OWASP 十大应用程序安全风险中的#1:A1 - 注入(inject)
假设您使用 jar 来访问 SQL 数据库(例如 hibernate)并且它具有注入(inject)漏洞,那么您的应用程序也可能存在漏洞。然而,即使 hibernate 没有任何安全漏洞,如果程序员在没有正确转义用户输入的情况下将 SQL 查询连接在一起,则应用程序很容易受到注入(inject)攻击。
Spring security 不会保护您的应用程序免受这些注入(inject)攻击。
如果 jar 存在漏洞并且您正在调用易受攻击的方法/功能,那么您的应用程序也可能存在该漏洞,这在很大程度上取决于漏洞是什么以及其执行方式以及您的应用程序如何配置为使用该 jar .
为了快速浏览另一个 OWASP Top 10 Application Security Risks :
A1-Injection - 没有 Spring Security 的保护
A2-Broken 身份验证和 session 管理 - Spring Security 可以帮助管理其中的一些,但是未配置的 Spring Security 会暴露这些。
A3-Cross-Site Scripting (XSS) - 没有 Spring Security 的保护
A4-不安全的直接对象引用 - 没有来自 Spring Security 的额外保护(Spring Security 为您提供了管理此问题的工具)
A5-Security Misconfiguration - Spring Security 没有保护
A6 敏感数据暴露 - Spring Security 可以帮助解决这个问题,但它也很大程度上取决于您如何存储和管理数据(例如日志文件)
A7-Missing Function Level Access Control - 如果错过了访问控制,Spring Security 帮不了你,但是 Spring Security 可以很容易地添加这些
A8-Cross-Site Request Forgery (CSRF) - Spring Security(取决于您的应用程序的配置方式)将为您提供帮助,甚至为您管理此风险。
A9-使用具有已知漏洞的组件 - 这是您在问题中列出的 CVE - Spring Security 没有保护
A10-未经验证的重定向和转发 - Spring Security 可用于管理此问题,但它不能立即保护您的应用程序免受此问题的影响
在您的应用程序的 STAT 期间发现的 CVE 列表是 A9-使用具有已知漏洞的组件的示例,请查看 OWASP wiki for more information .
Example Attack Scenarios
Component vulnerabilities can cause almost any type of risk imaginable, ranging from the trivial to sophisticated malware designed to target a specific organization. Components almost always run with the full privilege of the application, so flaws in any component can be serious, The following two vulnerable components were downloaded 22m times in 2011.
- Apache CXF Authentication Bypass – By failing to provide an identity token, attackers could invoke any web service with full permission. (Apache CXF is a services framework, not to be confused with the Apache Application Server.)
- Spring Remote Code Execution – Abuse of the Expression Language implementation in Spring allowed attackers to execute arbitrary code, effectively taking over the server.
Every application using either of these vulnerable libraries is vulnerable to attack as both of these components are directly accessible by application users. Other vulnerable libraries, used deeper in an application, may be harder to exploit.
请注意上面最后一段,组件(jar)越深,就越难利用,但这并不意味着确定的实体不能利用它们。
总之,Spring Security 是管理应用程序中的身份验证和访问控制的绝佳工具,但它并不是解决所有安全问题的 Elixir 。
关于spring - jar 如何在使用它的 Web 应用程序中传播漏洞?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46707284/
我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div
我有一个Ruby程序,它使用rubyzip压缩XML文件的目录树。gem。我的问题是文件开始变得很重,我想提高压缩级别,因为压缩时间不是问题。我在rubyzipdocumentation中找不到一种为创建的ZIP文件指定压缩级别的方法。有人知道如何更改此设置吗?是否有另一个允许指定压缩级别的Ruby库? 最佳答案 这是我通过查看rubyzip内部创建的代码。level=Zlib::BEST_COMPRESSIONZip::ZipOutputStream.open(zip_file)do|zip|Dir.glob("**/*")d
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
很好奇,就使用rubyonrails自动化单元测试而言,你们正在做什么?您是否创建了一个脚本来在cron中运行rake作业并将结果邮寄给您?git中的预提交Hook?只是手动调用?我完全理解测试,但想知道在错误发生之前捕获错误的最佳实践是什么。让我们理所当然地认为测试本身是完美无缺的,并且可以正常工作。下一步是什么以确保他们在正确的时间将可能有害的结果传达给您? 最佳答案 不确定您到底想听什么,但是有几个级别的自动代码库控制:在处理某项功能时,您可以使用类似autotest的内容获得关于哪些有效,哪些无效的即时反馈。要确保您的提
假设我做了一个模块如下:m=Module.newdoclassCendend三个问题:除了对m的引用之外,还有什么方法可以访问C和m中的其他内容?我可以在创建匿名模块后为其命名吗(就像我输入“module...”一样)?如何在使用完匿名模块后将其删除,使其定义的常量不再存在? 最佳答案 三个答案:是的,使用ObjectSpace.此代码使c引用你的类(class)C不引用m:c=nilObjectSpace.each_object{|obj|c=objif(Class===objandobj.name=~/::C$/)}当然这取决于
出于纯粹的兴趣,我很好奇如何按顺序创建PI,而不是在过程结果之后生成数字,而是让数字在过程本身生成时显示。如果是这种情况,那么数字可以自行产生,我可以对以前看到的数字实现垃圾收集,从而创建一个无限系列。结果只是在Pi系列之后每秒生成一个数字。这是我通过互联网筛选的结果:这是流行的计算机友好算法,类机器算法:defarccot(x,unity)xpow=unity/xn=1sign=1sum=0loopdoterm=xpow/nbreakifterm==0sum+=sign*(xpow/n)xpow/=x*xn+=2sign=-signendsumenddefcalc_pi(digits
我正在尝试使用ruby和Savon来使用网络服务。测试服务为http://www.webservicex.net/WS/WSDetails.aspx?WSID=9&CATID=2require'rubygems'require'savon'client=Savon::Client.new"http://www.webservicex.net/stockquote.asmx?WSDL"client.get_quotedo|soap|soap.body={:symbol=>"AAPL"}end返回SOAP异常。检查soap信封,在我看来soap请求没有正确的命名空间。任何人都可以建议我
关闭。这个问题是opinion-based.它目前不接受答案。想要改进这个问题?更新问题,以便editingthispost可以用事实和引用来回答它.关闭4年前。Improvethisquestion我想在固定时间创建一系列低音和高音调的哔哔声。例如:在150毫秒时发出高音调的蜂鸣声在151毫秒时发出低音调的蜂鸣声200毫秒时发出低音调的蜂鸣声250毫秒的高音调蜂鸣声有没有办法在Ruby或Python中做到这一点?我真的不在乎输出编码是什么(.wav、.mp3、.ogg等等),但我确实想创建一个输出文件。
我在我的项目目录中完成了compasscreate.和compassinitrails。几个问题:我已将我的.sass文件放在public/stylesheets中。这是放置它们的正确位置吗?当我运行compasswatch时,它不会自动编译这些.sass文件。我必须手动指定文件:compasswatchpublic/stylesheets/myfile.sass等。如何让它自动运行?文件ie.css、print.css和screen.css已放在stylesheets/compiled。如何在编译后不让它们重新出现的情况下删除它们?我自己编译的.sass文件编译成compiled/t
对于具有离线功能的智能手机应用程序,我正在为Xml文件创建单向文本同步。我希望我的服务器将增量/差异(例如GNU差异补丁)发送到目标设备。这是计划:Time=0Server:hasversion_1ofXmlfile(~800kiB)Client:hasversion_1ofXmlfile(~800kiB)Time=1Server:hasversion_1andversion_2ofXmlfile(each~800kiB)computesdeltaoftheseversions(=patch)(~10kiB)sendspatchtoClient(~10kiBtransferred)Cl
