使用準(zhǔn)備序列和參數(shù)化查詢來(lái)防止注射； 2。使用強(qiáng)密碼哈希和MFA實(shí)施彈簧安全，以進(jìn)行安全身份驗(yàn)證； 3。使用@preauthorize和拒絕默認(rèn)訪問(wèn)控制執(zhí)行RBAC； 4。使用帶有安全密鑰管理的AES-256在TLS 1.2中加密數(shù)據(jù)和靜止?fàn)顟B(tài)； 5。通過(guò)禁用調(diào)試模式，設(shè)置CSP和HST等安全標(biāo)頭以及集中秘密來(lái)硬化配置； 6。通過(guò)使用OWASP Java編碼器逃脫輸出并使用胸腺毛細(xì)管等自動(dòng)排列模板來(lái)防止XS； 7。通過(guò)驗(yàn)證和白名單，阻止內(nèi)部IP并隔離后端網(wǎng)絡(luò)來(lái)減輕SSRF； 8。通過(guò)OWASP依賴性檢查或SNYK和自動(dòng)更新的定期掃描來(lái)安全依賴關(guān)系； 9.通過(guò)記錄異常安全處理錯(cuò)誤而不露出堆棧痕跡并避免在日志中避免使用PII； 10。使用@VALID，速率限制，DTO，最小數(shù)據(jù)暴露的DTO和基于JWT的身份驗(yàn)證，通過(guò)輸入驗(yàn)證進(jìn)行保護(hù)；此外，使用Spring Boot的安全默認(rèn)值，使用Sonarqube和Owasp Zap等工具進(jìn)行定期安全測(cè)試，遵循最小的特權(quán)，并保持所有軟件更新以防御Java Web應(yīng)用程序中的OWASP前10個(gè)風(fēng)險(xiǎn)。

確保針對(duì)OWASP前十大漏洞確保Java Web應(yīng)用程序需要安全的編碼實(shí)踐，適當(dāng)?shù)呐渲靡约艾F(xiàn)代框架和工具的使用。以下是實(shí)用，可行的步驟，以防止在基于Java的環(huán)境中針對(duì)當(dāng)前的OWASP前10名（2021）風(fēng)險(xiǎn)。

1。防止注射（例如SQL，命令，LDAP）

當(dāng)將不信任的數(shù)據(jù)發(fā)送給解釋器作為命令或查詢的一部分時(shí)，就會(huì)發(fā)生注射缺陷。

如何保護(hù)：

• 使用已準(zhǔn)備好的語(yǔ)句或參數(shù)化查詢
  切勿將用戶輸入到SQL查詢中。使用PreparedStatement ：

  字符串sql =“從用戶select * username =？” select *。
  準(zhǔn)備的pstmt = connection.preparestatement（sql）;
  PSTMT.SetString（1，用戶名）;

• 安全使用ORM框架
  如果您避免使用String串聯(lián)的HQL查詢，那么Hibernate或JPA是安全的。使用名為參數(shù)：

  

  查詢<user> query = session.createquery（“從use u where u.email =：email”，user.class）;
  QUERY.SETPARAMETER（“電子郵件”，用戶郵件）;

• 驗(yàn)證和消毒輸入
  使用Hibernate驗(yàn)證器（ @Pattern ， @Email ）等庫(kù)來(lái)執(zhí)行輸入格式。

2。安全驗(yàn)證并管理身份

損壞的身份驗(yàn)證可以允許攻擊者損害密碼，密鑰或令牌。

如何保護(hù)：

• 使用已建立的身份驗(yàn)證庫(kù)
  避免滾動(dòng)自己的身材。使用Spring Security或OAuth2/OpenID連接通過(guò)Spring Security Oauth或KeyCloak等庫(kù)。

• 執(zhí)行強(qiáng)密碼策略
  需要最小長(zhǎng)度，復(fù)雜性并使用BCRypt，Scrypt或PBKDF2進(jìn)行哈希：

   bcryptpasswordencoder encoder = new bcryptpasswordencoder（）;
  字符串hashed = encoder.encode（rawPassword）;

• 實(shí)施多因素身份驗(yàn)證（MFA）
  使用TOTP或SMS/電子郵件驗(yàn)證添加額外的層。

• 安全會(huì)話管理
  登錄后，請(qǐng)使用安全的，僅HTTP的cookie和再生會(huì)話ID。

3。防止損壞的訪問(wèn)控制

訪問(wèn)控制執(zhí)行用戶只能訪問(wèn)其授權(quán)的內(nèi)容。

如何保護(hù)：

• 強(qiáng)制基于角色的訪問(wèn)控制（RBAC）
  使用彈簧安全注釋：

   @preauthorize（“ hasrole（'admin'）”）
  public void deleteuser（長(zhǎng)ID）{...}

• 永遠(yuǎn)不要依靠隱藏URL
  即使UI隱藏了選項(xiàng)，始終檢查權(quán)限服務(wù)器端。

• 默認(rèn)情況下拒絕
  明確定義允許的動(dòng)作；假設(shè)所有其他人都是禁止的。

4。加密敏感數(shù)據(jù)（加密故障）

在沒有適當(dāng)加密的情況下存儲(chǔ)或傳輸敏感數(shù)據(jù)會(huì)導(dǎo)致暴露。

如何保護(hù)：

• 始終使用https
  生產(chǎn)中執(zhí)行TLS 1.2。使用諸如讓我們加密證書之類的工具。

• 靜止加密敏感數(shù)據(jù)
  使用強(qiáng)算法（AES-256）并安全地管理密鑰（例如，使用AWS KMS或Hashicorp Vault）。

• 避免使用弱算法
  不要使用MD5，SHA-1或DES。使用SHA-256和AES。

• 不要存儲(chǔ)不需要的東西
  最大程度地減少敏感數(shù)據(jù)的收集和保留（例如，密碼，SSN）。

5。安全配置（安全性錯(cuò)誤）

默認(rèn)設(shè)置，詳細(xì)錯(cuò)誤或未使用的功能公開系統(tǒng)。

如何保護(hù)：

• 硬化您的環(huán)境
  禁用調(diào)試模式，刪除示例應(yīng)用程序，并保持依賴關(guān)系更新。

• 使用安全的標(biāo)題
  通過(guò)過(guò)濾器或框架設(shè)置HTTP安全標(biāo)頭：

  • Content-Security-Policy
  • X-Content-Type-Options: nosniff
  • X-Frame-Options: DENY
  • Strict-Transport-Security

  在春季，使用：

   http.headers（）。frameoptions（）。deny（）和（）。contentTypeoptions（）和（）。hsts（）;

• 集中配置
  使用application.properties或application.yml具有特定于個(gè)人資料的設(shè)置。切勿將秘密存儲(chǔ)在代碼中。

6。驗(yàn)證和消毒用戶輸入（XSS預(yù)防）

當(dāng)應(yīng)用在響應(yīng)中包含不信任數(shù)據(jù)時(shí)，會(huì)發(fā)生跨站點(diǎn)腳本（XSS）。

如何保護(hù)：

• 逃生輸出
  使用上下文感知逃脫：

  • 對(duì)于HTML：使用Owasp Java編碼器：

     <％= encode.forhtml（usercontent）％>

  • 對(duì)于JavaScript：使用Encode.forJavaScript()

• 使用現(xiàn)代框架
  胸腺，JSF或Spring默認(rèn)情況下自動(dòng)逃脫輸出 - 確保您不會(huì)禁用它。

• 應(yīng)用內(nèi)容安全策略（CSP）
  限制腳本，樣式和其他資源的來(lái)源。

7。防止SSRF（服務(wù)器端請(qǐng)求偽造）

SSRF讓攻擊者誘使服務(wù)器提出意外請(qǐng)求。

如何保護(hù)：

• 驗(yàn)證和白名單URL
  如果您的應(yīng)用獲取遠(yuǎn)程資源（例如，Webhooks，Avatars），請(qǐng)驗(yàn)證目標(biāo)：

  • 阻止Localhost，內(nèi)部IP（10.x，192.168.x等）
  • 使用允許域的允許列表

• 使用網(wǎng)絡(luò)細(xì)分
  在沒有外部訪問(wèn)的孤立網(wǎng)絡(luò)中運(yùn)行后端服務(wù)。

• 避免將URL獲取給用戶
  如果可能的話，避免讓用戶輸入服務(wù)器將獲取的URL。

8。安全使用依賴項(xiàng)（軟件和數(shù)據(jù)完整性失敗）

使用脆弱或篡改的組件可以引入后門。

如何保護(hù)：

• 定期掃描依賴項(xiàng)
  使用以下工具：

  • OWASP依賴性檢查
  • Snyk
  • maven/gradle插件以檢測(cè)已知漏洞

• 保持圖書館的更新
  訂閱安全郵件列表或使用自動(dòng)化工具（例如DiDeStabot）。

• 驗(yàn)證完整性
  盡可能使用簽名的工件和校驗(yàn)和校驗(yàn)和校驗(yàn)

9。實(shí)施適當(dāng)?shù)腻e(cuò)誤處理和記錄

記錄差或詳細(xì)錯(cuò)誤會(huì)泄漏系統(tǒng)的詳細(xì)信息。

如何保護(hù)：

• 不要露出堆棧跟蹤
  將通用錯(cuò)誤消息返回給用戶：

  嘗試 {
      // ...
  } catch（異常E）{
      log.error（“用戶失敗的操作失敗：{}”，userId，e）;
      投擲新的Customexception（“發(fā)生錯(cuò)誤”）；
  }

• 足夠?qū)θ∽C的日志，不是太多
  避免記錄密碼，令牌或PII。

• 監(jiān)視可疑活動(dòng)的日志
  使用麋鹿堆或splunk等工具來(lái)檢測(cè)蠻力，注射嘗試等。

10。安全API（API安全）

現(xiàn)代應(yīng)用程序依賴于API，這些API容易損壞對(duì)象級(jí)授權(quán)，數(shù)據(jù)曝光過(guò)多等。

如何保護(hù)：

• 驗(yàn)證API端點(diǎn)中的所有輸入
  在Spring Boot中使用@Valid和Bean驗(yàn)證：

   public wendersentity <user> createuser（@valid @requestbody用戶用戶）{...}

• 使用速率限制
  防止使用Spring Cloud Gateway或自定義過(guò)濾器等工具濫用。

• 避免過(guò)多的數(shù)據(jù)曝光
  如果僅需要幾個(gè)字段，請(qǐng)不要返回完整的對(duì)象。使用DTO。

• 驗(yàn)證并授權(quán)每個(gè)請(qǐng)求
  使用具有適當(dāng)簽名驗(yàn)證和短壽命的JWT。

獎(jiǎng)金：一般最佳實(shí)踐

• 將Spring Boot與安全自動(dòng)配置一起使用
  默認(rèn)情況下，它可以實(shí)現(xiàn)許多保護(hù)（CSRF，安全標(biāo)頭等）。

• 執(zhí)行定期安全測(cè)試

  • 靜態(tài)分析：Sonarqube，帶安全插件的點(diǎn)蟲
  • 動(dòng)態(tài)掃描：Owasp Zap，Burp Suite
  • 滲透測(cè)試：安排常規(guī)測(cè)試

• 遵循至少特權(quán)的原則
  使用最小的OS和DB權(quán)限運(yùn)行您的應(yīng)用程序。

• 保持Java和框架更新
  JVM，Tomcat，Spring等的補(bǔ)丁已知漏洞。

基本上，確保Java Web應(yīng)用程序與一個(gè)魔法修復(fù)無(wú)關(guān)，它是防御層的一致應(yīng)用：輸入驗(yàn)證，輸出編碼，安全默認(rèn)值和主動(dòng)監(jiān)視。使用成熟的框架，自動(dòng)化安全檢查并保持更新。

以上是如何從OWASP前10個(gè)漏洞中獲得Java Web應(yīng)用程序的詳細(xì)內(nèi)容。更多信息請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！