InfoQ

新闻

Spring MVC的安全隐患及建议

作者 Ryan Slobojan 译者 张龙 发布于 2008年7月20日 上午8时27分

社区
Java
主题
Web框架,
安全
标签
Spring框架

Ounce实验室近日提出了与Spring MVC相关的两个潜在安全问题。这两个问题会影响到使用Spring MVC构建的应用,其产生的原因都与服务器端对客户端参数的处理有关。InfoQ深入分析了这两个问题并与Ounce实验室展开了一番讨论。

Ounce实验室的官方发布中这样描述这两个问题:

这些新发现的安全漏洞和一般被跨站点脚本(cross site scripting,即XSS)或SQL注入攻击利用的漏洞不同,它们并不是Spring框架内部的安全漏洞,而是应用设计上的问题。如果应用没有恰当的设计和实现,那么就有可能暴露自身的核心业务应用,并被攻击者利用。如果开发者在使用Spring框架设计和测试应用的时候头脑中能对安全问题有个清楚且正确的认识的话,企业应用在部署之后也就不会那么容易遭到攻击了。

接着,Ounce逐一剖析了这两个漏洞:

首先涉及的是数据绑定过程。Spring MVC有这样一个特性:可以直接将表单中提交的字段自动传递到代表对象模型的java beans。这个特性本身没有什么问题,但当你使用同一个bean来维护多个表单及数据(提交这些数据的表单是不同的)时问题就产生了。举个例子,比方说你有一个代表用户账户的bean,而你的web应用有两个不同的表单会更新该bean,其中一个表单用来创建新帐户,另一个用来更新已有帐户,那么攻击者就有可能“借”更新帐户的表单的“手”去修改另一个用户的帐户。第二个安全漏洞与攻击者借助用户可管理数据来控制业务流程有关。在安全领域中,人们在用户数据的验证方面投入了很到的精力,以此来防止恶意的脚本内容或者SQL注入攻击,然而如果用户可管理数据可以被用来控制业务流程的话,那么这些数据也必须通过验证。再举个例子,有一个使用Spring MVC构建的交易应用,这个应用中有三个独立的控制器:一个处理新交易请求;另一个处理交易请求验证;还有一个处理交易执行。一旦该交易流程中存在某个点,用户在这点上能操纵控制器随意将请求发送到的非既定的“视图”,那么这个业务流程就存在被扰乱的可能。如果正常交易流程被扰乱,最后执行的则会是未经验证的交易。

SpringSource的安全咨询部门也详细分析了这些问题并给出了修复这些问题的方案:

为了防止数据提交到不可编辑的字段的情况发生,我们应该在显示配置DataBinder的过程中声明允许绑定的字段,这需要设置应用中每个DataBinder实例的“allowedFields”属性。关于如何在主要的控制器实现中完成这些操作,可以参考下面这个例子:
  • SimpleFormController——覆写initBinder(HttpServletRequest, ServletRequestDataBinder)方法,并调用ServletRequestDataBinder实例的setAllowedFields(String[])方法
  • MultiActionController——在处理器的方法体中调用你创建的任何ServltRequestDataBinder实例的setAllowedFields方法
  • @Controller——使用@InitBinder注解将WebDataBinder显式注入到配置它的方法中。调用 setAllowedFields(String [])方法限制该控制器类所允许的属性。如果各个处理方法对应不同的allowedFields值的话,可以通过@InitBinder注解的方法接收 HttpServletRequest,并取消当前的请求映射
  • AbstractWizardFormController——覆写initBinder(HttpServletRequest, ServletRequestDataBinder)并调用DataBinder实例的setAllowedFields(String[])方法。调用 getCurrentPage(HttpServletRequest)方法以配置每个页面允许的属性集
为了避免ModelView注入的发生,千万不要让客户端自行选择视图。视图的选择应当由服务器端来决定。

Ounce又说他们相信其它很多框架也面临着类似的风险:

只要框架允许自动绑定或者用户可以控制应用的业务处理,那么应用都有可能存在上面提到的两个问题。我在客户编写的框架中就看到了类似的漏洞,在最近关注的一个Ruby on Rails应用中,也发现了同样的问题。产生这些问题的原因在于,设计这些框架的初衷是简化应用的开发,帮助开发者减少代码的编写量。但如果这些框架无法让简单和安全(框架默认的设置环境所保证的安全)齐头并进的话,我们最后得到的将是大量容易编写但并不安全的应用。

查看英文原文:Security Advisory Issued for Spring MVC

相关赞助商

汇集最新RIA技术相关资源,提供Flash开发平台相关工具高速下载,免费获得Adobe软件的产品序列号

4 条回复

关注此讨论 回复

只要是web应用都有这个问题 发表人 shen jianfeng 发表于 2008年7月20日 下午8时17分
Re: 只要是web应用都有这个问题 发表人 Andy Yao 发表于 2008年7月20日 下午8时56分
这跟SPRING没关系 发表人 Keel Sike 发表于 2008年7月21日 下午8时29分
Re: 这跟SPRING没关系 发表人 firefly sen 发表于 2008年7月23日 下午7时24分
按日期倒序排列

  1. 返回顶部

    只要是web应用都有这个问题

    2008年7月20日 下午8时17分 发表人 shen jianfeng

    拿spring来搞噱头啊

    回复

  2. 返回顶部

    Re: 只要是web应用都有这个问题

    2008年7月20日 下午8时56分 发表人 Andy Yao

    web框架都或多或少有这些问题.

    回复

  3. 返回顶部

    这跟SPRING没关系

    2008年7月21日 下午8时29分 发表人 Keel Sike

    有谁不会在执行更新操作时先验证用户信息呢?
    文中所说的不过是客户端伪造表单提交的老问题。

    回复

  4. 返回顶部

    Re: 这跟SPRING没关系

    2008年7月23日 下午7时24分 发表人 firefly sen

    搞笑,这也叫问题???????蠢蛋或者没有写过程序的人才会如此设计的。

    回复

深度内容

模块化Java:声明式模块化

本文是模块化Java系列文章的第4篇,介绍的是声明式模块化。文中描述了组件如何以声明的方式来定义并组织在一起,而无需让代码依赖于OSGI API。

  •  2010年2月9日,
  •  

Ian Robinson和Jim Webber谈论基于Web的整合

本采访是在伦敦举行的QCon2009上记录的,Ian Robinson和Jim Webber探讨了如何将Web作为整合平台以及REST在理论上和实践中的好处。

  •  2010年2月8日,
  •  

项目管理修炼之道(精选版)

项目管理对于项目成败至关重要,但实践中每个项目都有自己的独特性,没有现成的解决方案可以套用。书中从应对实际风险的角度出发,讲述了从项目启动、项目规划到项目结束的整个管理流程,展示了作者的思考过程。本迷你书从原书中精选出5个章节。

  •  2010年2月4日,

那是鸟,还是飞机?不,那是超人!

在这个演讲中,Fred将会揭示敏捷的一些外在因素,并会重点关注敏捷获得成功的内在原因。从案例研究和真实的项目经验来看,Fred认为:工具、管理体系都不能让你变得敏捷。敏捷的成功,植根于士气高涨、充分授权的工作者身上,他们能够以不同以往的方式思考问题。

  •  2010年2月3日,
  •   4

访谈和书摘:Eben Hewitt的新书《Java SOA Cookbook》

Java SOA Cookbook

Eben Hewitt的新书《Java SOA Cookbook》从Java实现的角度讨论了面向服务架构。Eben在书中讨论了SOA基础、工具、最佳实践和SOA治理等主题。

  •  2010年2月2日,
  •  

Mark Richard的《Java消息服务》第二版

Mark Richards的新书《Java消息服务》第二版覆盖了JMS的许多主题, 包括发布和订阅模式以及点对点模式,消息过滤和事务等。InfoQ与Mark谈论了跟他的新作。

  •  2010年2月1日,
  •   1

模块化Java:动态模块化

本文是“模块化Java”系列文章的第三篇,讨论动态模块化,内容涉及如何解析bundle类、bundle如何变化、以及bundle之间如何通信。

  •  2010年1月28日,
  •   1

让测试也敏捷起来

对于测试组织来说,敏捷方法带来的快速迭代却让测试本身变得困难起来:缺乏“足够详细的文档”,缺乏“仔细设计用例的时间”等等。在本演讲中,段念将与大家探讨如何在敏捷过程中进行测试。

  •  2010年1月26日,
  •   9