基于JSP网站的安全漏洞分析与解决方案研究

韩雪娇 冶金工业信息中心

基于JSP网站的安全漏洞分析与解决方案研究

韩雪娇 冶金工业信息中心

JSP技术可更好的展现网站的动态信息，所以在网站开发中广泛应用。但JSP技术也带来了一些安全隐患，被非法访问者用于攻击网站。本文列举了常见的JSP网站漏洞并分析产生的原因，进而提出解决方案以保障JSP网站的安全。

JSP技术 网站漏洞 网站安全

随着JSP技术在网站开发中的应用，网站承载的信息量更大，交互性更好，用户体验更丰富。但JSP技术也为网站安全带来隐患，遭受非法访问者的入侵，篡改网页内容，盗取网站数据等。故在基于JSP网站开发中发现漏洞，并防御或阻止外来恶意或无意的攻击显得举足轻重。

1 JSP技术背景

JSP(Java Server Pages)是一种动态网页技术标准，在传统HTML网页文件中插入Java程序段(Scriptlet)和JSP标记(Tag)。JSP的工作机制是当一个JSP文件首次被请求时，JSP引擎将其转换为一个Servlet，然后执行该Servlet的JspInit()方法并调用JspService()方法来处理客户端的请求。对于每一个请求，JSP引擎都将创建一个新的线程来处理该请求。JSP技术具有快速、平台无关、可扩展、面向对象等特性，越来越多的网站开始将其平台架构在JSP环境中。但其安全漏洞是阻碍其发展的主要障碍之一。

2 JSP网站常见漏洞及解决方案

2.1 配置类漏洞

常见的配置类漏洞有源代码暴露，通常文件后缀和路径可引起的源代码暴露。在Web服务器Tomcat的3.1版本中，一般访问的网址后缀应为.jsp，若包含大写字母(如.Jsp或.jSp)，浏览器执行对应请求时则提示下载该文件，而文件中包含该网页的源代码。分析该漏洞产生的原因为JSP的Web服务器是区分字母的大小写。该漏洞的解决方法有定期升级Web服务器，也可以通过配置服务器映射文件，将含有大写字母的JSP文件的请求导向报错页面。

在CIOPI中国铁矿石价格指数网站研发中出现了配置类漏洞，在web.xml配置文件中Strust2仅仅拦截.action请求。导致非法访问者可通过在浏览器的地址栏直接输入网址目录结构的方式来访问网站的JSP页面。解决方法为修改web.xml配置文件中Strust2配置文件，不仅拦截.action请求，而且拦截.jsp请求。

2.2 SQL注入漏洞

SQL注入攻击的实现方法为非法访问者提交个人编造的数据库查询语句，获得感兴趣的数据。基于JSP的网站通常都与数据库相关联，并需要执行增删改查操作。例如，登录页面通常包含select * from admin where username='XXX' and password='YYY'的SQL语句，若非法访问者在表单的“用户名”文本框中输入'1'='1'，并在“密码”文本框中输入'123456'。此时，SQL语句就变成了：select * from admin where username='1'='1' and password='123456'，分析该语句可知'1'='1'的值永远都是true，从而实现SQL注入攻击。

避免SQL注入攻击的方法一般有过滤用户提交的表单数据、替换敏感字符等。在CIOPI中国铁矿石价格指数网站的登录页面中，仅允许用户提交字母、数字及下划线的组合字符串，且长度也必须满足要求。

2.3 跨站脚本攻击

跨站脚本攻击是指非法访问者在HTML页面中注入恶意脚本并构造一个跨站页面，再利用script等方式诱发用户浏览该页面时触发被攻击站点的HTTP请求，从而达到对网站或系统的攻击。非法访问者可通过XSS屏蔽页面或者伪造页面，显示拒绝服务攻击而突破内外网的安全设置等，从而获取用户Cookie中的敏感数据并给网站带来破坏与威胁。造成这种漏洞的原因为在使用JSP研发设计的网站时程序没有对用户提交的变量中的HTML代码进行过滤或转换。故常用的措施有：

（1）过滤用户提交的请求，控制get/post请求参数的长度、格式和有效字符等；

（2）通过绑定cookie和系统IP的方式降低cookie泄露的危险；

（3）采用用户交互的方式，通过验证码技术来拦截非预期特权的操作；

（4）写到页面的信息尽量加以encode，避免暴露HTML Tag；

（5）实现Session标记等防止功能被第三方网站执行。

综上所述，列举基于JSP网站存在的安全方面的常见漏洞，并且以CIOPI中国铁矿石价格指数网为例，分析漏洞产生的原因与解决方案，从而保障JSP网站的安全。

[1]欧阳林.校园网站入侵攻击的查找与防范[J].电脑编程技巧与维护,2017,(1)

[2]赵莉,刘潇谊.Web安全登录方案研究[J].电脑编程技巧与维护：2016,(1):36-38