InfoQ

新闻

Spring MVC的安全隐患及建议

作者 Ryan Slobojan 译者 张龙 发布于 2008年7月20日 上午8时27分

社区
Java
主题
Web框架,
安全
标签
Spring框架

Ounce实验室近日提出了与Spring MVC相关的两个潜在安全问题。这两个问题会影响到使用Spring MVC构建的应用,其产生的原因都与服务器端对客户端参数的处理有关。InfoQ深入分析了这两个问题并与Ounce实验室展开了一番讨论。

Ounce实验室的官方发布中这样描述这两个问题:

这些新发现的安全漏洞和一般被跨站点脚本(cross site scripting,即XSS)或SQL注入攻击利用的漏洞不同,它们并不是Spring框架内部的安全漏洞,而是应用设计上的问题。如果应用没有恰当的设计和实现,那么就有可能暴露自身的核心业务应用,并被攻击者利用。如果开发者在使用Spring框架设计和测试应用的时候头脑中能对安全问题有个清楚且正确的认识的话,企业应用在部署之后也就不会那么容易遭到攻击了。

接着,Ounce逐一剖析了这两个漏洞:

首先涉及的是数据绑定过程。Spring MVC有这样一个特性:可以直接将表单中提交的字段自动传递到代表对象模型的java beans。这个特性本身没有什么问题,但当你使用同一个bean来维护多个表单及数据(提交这些数据的表单是不同的)时问题就产生了。举个例子,比方说你有一个代表用户账户的bean,而你的web应用有两个不同的表单会更新该bean,其中一个表单用来创建新帐户,另一个用来更新已有帐户,那么攻击者就有可能“借”更新帐户的表单的“手”去修改另一个用户的帐户。第二个安全漏洞与攻击者借助用户可管理数据来控制业务流程有关。在安全领域中,人们在用户数据的验证方面投入了很到的精力,以此来防止恶意的脚本内容或者SQL注入攻击,然而如果用户可管理数据可以被用来控制业务流程的话,那么这些数据也必须通过验证。再举个例子,有一个使用Spring MVC构建的交易应用,这个应用中有三个独立的控制器:一个处理新交易请求;另一个处理交易请求验证;还有一个处理交易执行。一旦该交易流程中存在某个点,用户在这点上能操纵控制器随意将请求发送到的非既定的“视图”,那么这个业务流程就存在被扰乱的可能。如果正常交易流程被扰乱,最后执行的则会是未经验证的交易。

SpringSource的安全咨询部门也详细分析了这些问题并给出了修复这些问题的方案:

为了防止数据提交到不可编辑的字段的情况发生,我们应该在显示配置DataBinder的过程中声明允许绑定的字段,这需要设置应用中每个DataBinder实例的“allowedFields”属性。关于如何在主要的控制器实现中完成这些操作,可以参考下面这个例子:
  • SimpleFormController——覆写initBinder(HttpServletRequest, ServletRequestDataBinder)方法,并调用ServletRequestDataBinder实例的setAllowedFields(String[])方法
  • MultiActionController——在处理器的方法体中调用你创建的任何ServltRequestDataBinder实例的setAllowedFields方法
  • @Controller——使用@InitBinder注解将WebDataBinder显式注入到配置它的方法中。调用 setAllowedFields(String [])方法限制该控制器类所允许的属性。如果各个处理方法对应不同的allowedFields值的话,可以通过@InitBinder注解的方法接收 HttpServletRequest,并取消当前的请求映射
  • AbstractWizardFormController——覆写initBinder(HttpServletRequest, ServletRequestDataBinder)并调用DataBinder实例的setAllowedFields(String[])方法。调用 getCurrentPage(HttpServletRequest)方法以配置每个页面允许的属性集
为了避免ModelView注入的发生,千万不要让客户端自行选择视图。视图的选择应当由服务器端来决定。

Ounce又说他们相信其它很多框架也面临着类似的风险:

只要框架允许自动绑定或者用户可以控制应用的业务处理,那么应用都有可能存在上面提到的两个问题。我在客户编写的框架中就看到了类似的漏洞,在最近关注的一个Ruby on Rails应用中,也发现了同样的问题。产生这些问题的原因在于,设计这些框架的初衷是简化应用的开发,帮助开发者减少代码的编写量。但如果这些框架无法让简单和安全(框架默认的设置环境所保证的安全)齐头并进的话,我们最后得到的将是大量容易编写但并不安全的应用。

查看英文原文:Security Advisory Issued for Spring MVC

相关厂商内容

Adobe开发者技术日,7月16日上海,免费报名!

4 条回复

关注此讨论 回复

只要是web应用都有这个问题 发表人 shen jianfeng 发表于 2008年7月20日 下午8时17分
Re: 只要是web应用都有这个问题 发表人 Andy Yao 发表于 2008年7月20日 下午8时56分
这跟SPRING没关系 发表人 Keel Sike 发表于 2008年7月21日 下午8时29分
Re: 这跟SPRING没关系 发表人 firefly sen 发表于 2008年7月23日 下午7时24分
按日期倒序排列

  1. 返回顶部

    只要是web应用都有这个问题

    2008年7月20日 下午8时17分 发表人 shen jianfeng

    拿spring来搞噱头啊

    回复

  2. 返回顶部

    Re: 只要是web应用都有这个问题

    2008年7月20日 下午8时56分 发表人 Andy Yao

    web框架都或多或少有这些问题.

    回复

  3. 返回顶部

    这跟SPRING没关系

    2008年7月21日 下午8时29分 发表人 Keel Sike

    有谁不会在执行更新操作时先验证用户信息呢? 文中所说的不过是客户端伪造表单提交的老问题。

    回复

  4. 返回顶部

    Re: 这跟SPRING没关系

    2008年7月23日 下午7时24分 发表人 firefly sen

    搞笑,这也叫问题???????蠢蛋或者没有写过程序的人才会如此设计的。

    回复

深度内容

和Google互补的搜索引擎Wolfram|Alpha

Wolfram|Alpha与Google究竟是什么关系,Wolfram|Alpha自己是如何定位的?Wolfram|Alaph在多大程度上是语义网搜索呢?InfoQ中文站就等等这些问题采访了Wolfram研究公司中国区商务经理王翔。

  •  2009年7月3日,
  •   8

SOA契约成熟度模型

本文说明了所推荐的契约版本管理设计策略是如何与SOA成熟度模型发生联系的。文章目的是为实现版本管理和可组合性提供一个路线图。

  •  2009年7月1日,
  •  

数据服务简介

Vijay Narayanan在这篇文章中对数据服务的几个方面进行了介绍,它们都是SOA实践者和数据架构师感兴趣的内容。本文对数据服务的几个方面进行了介绍,包括需求定义,基本原理和好处、范围、开发以及消费模式。

  •  2009年6月30日,
  •   2

分块云计算

在本文中,Jimmy Nilsson描述了一种他在过去数年间观察到的一种正在缓慢成长的架构风格,他把这种风格称为“分块云计算”。

  •  2009年6月29日,
  •   8

豆瓣网技术架构变迁

罗马不是一天建成的,豆瓣的技术架构也是随着用户规模的增长一直在持续变化中。在本次演讲中,豆瓣的首席架构师洪强宁将与大家一起分享从上线时的单台服务器架构开始一直到现在的豆瓣架构变迁历程。

融合思想:深入探索S#arp架构

Billy McCafferty展示了S#arp架构,它在ASP.NET MVC框架的基础上,荟萃了当今的最佳实践,应用在ASP.NET Web应用程序的架构设计中。

  •  2009年6月24日,
  •   7

王雷谈开源以及新兴市场计划

中国作为新兴市场中的新兴市场,是Sun在美国之外实施SSE(SUN Startup Essentials)项目重点关注的地区。在QCon Beijing 2009期间,InfoQ中文站有幸对此项目的负责人王雷先生进行了采访,探讨了关于开源、新兴市场、SSE等话题。

  •  2009年6月23日,
  •  

使用HTML5构建下一代的Web Form

HTML5 是由 WHATWG发起的,最开始的名称叫做Web Application 1.0,而后这个标准吸纳了Web Forms 2.0的标准,并一同被W3C组织所采用,合并成为下一代的HTML5标准。