Как централизованно отловить уязвимости в spring+hibernate application / Java

ReSQL.ru

2.0.61

Планшетная версия Контакт Правила FAQ Помощь

Гость

Войти | Профиль | Очистить

Нов. | Гор. | Избр.

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Действия ...

Доб. в избранное
Игнор. тему
Прикреп. тему
Пометить прочит. / непрочит.
Фильтр:
Сообщения автора темы
Сообщение содержит вложения
Сообщение содержит картинки
Сообщение содержит видеоклипы
Сообщение содержит аудиоклипы
Сообщение содержит картинки или видео 18+

Форумы / Java [игнор отключен] [закрыт для гостей] / Как централизованно отловить уязвимости в spring+hibernate application / 23 сообщений из 23, страница 1 из 1

17.08.2015, 15:57

#39030865

questioner

Гость

Как централизованно отловить уязвимости в spring+hibernate application

Есть spring+hibernate приложенька.

Встал вопрос о том, чтобы сайт был защищён от всякого рода уязвимостей. Так как раньше никто об этом не заморачивался, то список опасных мест туманен. Есть ли способ как-то централизованно исключить уязвимости ?

Вот нагуглил какую-то штутку.

http://www.hdiv.org/

кто-то использовал? норм штука? я не понял она только детектит или ещё и фиксит?

Какие-то другие варианты может?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.08.2015, 16:06

#39030878

Atum1

Участник

Откуда: СПБ
Сообщения: 1 847
Рейтинг: 0 / 0

Как централизованно отловить уязвимости в spring+hibernate application

questionerЕсть spring+hibernate приложенька.

Встал вопрос о том, чтобы сайт был защищён от всякого рода уязвимостей. Так как раньше никто об этом не заморачивался, то список опасных мест туманен. Есть ли способ как-то централизованно исключить уязвимости ?

Вот нагуглил какую-то штутку.

http://www.hdiv.org/

кто-то использовал? норм штука? я не понял она только детектит или ещё и фиксит?

Какие-то другие варианты может?

на каждом логическом слое свои защиты ...
от веба до базы
https (ssl) + .. ddos (nginx) + ... +CSRF + XSS + ... + sql injection (PreparedStatement) ...

какая нагрузка , какие транзакции (деньги или нет ?!) какая аудитория ? итд ...

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.08.2015, 16:08

#39030879

Atum1

Участник

Откуда: СПБ
Сообщения: 1 847
Рейтинг: 0 / 0

Как централизованно отловить уязвимости в spring+hibernate application

questioner Есть ли способ как-то централизованно исключить уязвимости ?

да, не выпускать сайт в интернет.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.08.2015, 16:12

#39030891

questioner

Гость

Как централизованно отловить уязвимости в spring+hibernate application

Atum1,

Допустим у юзера на сайте есть список контента. Юзер может менять имя картинки. На каком уровне ловить, например, чтоб он не ввел alert("ololo").

Получается, что если какой-то другой юзер зайдёт на страничку с этой картинкой у него выполнится скрипт другого юзера.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.08.2015, 16:15

#39030900

Atum1

Участник

Откуда: СПБ
Сообщения: 1 847
Рейтинг: 0 / 0

Как централизованно отловить уязвимости в spring+hibernate application

+ Поиск на сайте - лучше переводить на на что то типа apache.org/solr/
+ регистрация через капчу
+ любое место на сайте где есть тяжелые операции ,которые грущят базу и не могут быть закешированы
(кешировать , делать асинхронно, фоном , разруливать через очереди типа HornetQ итд )

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.08.2015, 16:17

#39030902

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщения: 39 476
Рейтинг: 0 / 0

Как централизованно отловить уязвимости в spring+hibernate application

questioner,
начни отсюда:

Код: java

1.
2.

txtUserId = getRequestString("UserId");
txtSQL = "SELECT * FROM Users WHERE UserId = " + txtUserId;

Если юзверь\программист передаст вместо "105" строку "105 or 1=1",
то что будет?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.08.2015, 16:18

#39030904

Atum1

Участник

Откуда: СПБ
Сообщения: 1 847
Рейтинг: 0 / 0

Как централизованно отловить уязвимости в spring+hibernate application

questionerAtum1,

Допустим у юзера на сайте есть список контента. Юзер может менять имя картинки. На каком уровне ловить, например, чтоб он не ввел alert("ololo").

Получается, что если какой-то другой юзер зайдёт на страничку с этой картинкой у него выполнится скрипт другого юзера.

опишите кейс подробнее !

он меняет свои картинки ?

Экранировать , удалять спецсимволы ... хранить текст в виде кодов итд ... ?! не ?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.08.2015, 16:20

#39030911

questioner

Гость

Как централизованно отловить уязвимости в spring+hibernate application

Petro123questioner,
начни отсюда:

Код: java

1.
2.

txtUserId = getRequestString("UserId");
txtSQL = "SELECT * FROM Users WHERE UserId = " + txtUserId;

Если юзверь\программист передаст вместо "105" строку "105 or 1=1",
то что будет?

инъекция, я понимаю

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.08.2015, 16:21

#39030913

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщения: 39 476
Рейтинг: 0 / 0

Как централизованно отловить уязвимости в spring+hibernate application

questionerинъекция, я понимаю
ну видишь, всё знаешь))

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.08.2015, 16:23

#39030918

questioner

Гость

Как централизованно отловить уязвимости в spring+hibernate application

Atum1questionerAtum1,

Допустим у юзера на сайте есть список контента. Юзер может менять имя картинки. На каком уровне ловить, например, чтоб он не ввел alert("ololo").

Получается, что если какой-то другой юзер зайдёт на страничку с этой картинкой у него выполнится скрипт другого юзера.

опишите кейс подробнее !

он меняет свои картинки ?

Экранировать , удалять спецсимволы ... хранить текст в виде кодов итд ... ?! не ?

Он является автором этой картинки. То есть человек, который её загрузил является её оунером и может менять имя.

Но для чтения эти картинки видны и другим юзерам.

Как решить проблему в частном случае -ясно. Просто найти все места не представляется возможным. Есть ли какой-то способ в одном месте что-то волшебное написать?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.08.2015, 16:24

#39030919

questioner

Гость

Как централизованно отловить уязвимости в spring+hibernate application

Petro123questionerинъекция, я понимаю
ну видишь, всё знаешь))

Вопрос заключается в централизованом фиксе таких ситуаций. Есть ли он.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.08.2015, 16:27

#39030925

questioner

Гость

Как централизованно отловить уязвимости в spring+hibernate application

sql инъекций вроде не должно быть, потому что используем везде namedQuery

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.08.2015, 16:27

#39030926

Atum1

Участник

Откуда: СПБ
Сообщения: 1 847
Рейтинг: 0 / 0

Как централизованно отловить уязвимости в spring+hibernate application

Petro123questioner,
начни отсюда:

Код: java

1.
2.

txtUserId = getRequestString("UserId");
txtSQL = "SELECT * FROM Users WHERE UserId = " + txtUserId;

Если юзверь\программист передаст вместо "105" строку "105 or 1=1",
то что будет?
авторЕсть spring+hibernate приложенька.
Да у него там скорее всего spring data -, автор там хоть один sql в живом виде есть?

Может нужно экранировать html / и имена файлов по аналогии
к примеру чтобы выводить html в виде html и чтобы все экранировать :

Код: java

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.

public class HtmlParser {
    
    public static String stringEncoding(String str) {
        if(str == null || str.isEmpty()) return str;
        
        char[] chars = str.toCharArray();
        StringBuilder sb = new StringBuilder();
        for (char c : chars) {
            if(c == '&')
              sb.append("&amp;");
             else         
            sb.append("&#").append((int) c).append(";");
        }
        return sb.toString();
    }
    
}

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.08.2015, 16:32

#39030931

Atum1

Участник

Откуда: СПБ
Сообщения: 1 847
Рейтинг: 0 / 0

Как централизованно отловить уязвимости в spring+hibernate application

questionerAtum1пропущено...

опишите кейс подробнее !

он меняет свои картинки ?

Экранировать , удалять спецсимволы ... хранить текст в виде кодов итд ... ?! не ?

Он является автором этой картинки. То есть человек, который её загрузил является её оунером и может менять имя.

Но для чтения эти картинки видны и другим юзерам.

Как решить проблему в частном случае -ясно. Просто найти все места не представляется возможным. Есть ли какой-то способ в одном месте что-то волшебное написать?

все слабые месте https (ssl) + .. ddos (nginx) + ... +CSRF + XSS + ... + sql injection (PreparedStatement) ...
+ еще могут накидать

по поводу имен картинок - генери свое имя рандромнон и случайное или uid или datetime_login_ID
а пользователю - показывай как вариает - его имя которое он ввел , но экранированное тобой ... или предварительно удалив из него спецсимволы. и проверив на javascript eval

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.08.2015, 16:40

#39030939

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщения: 39 476
Рейтинг: 0 / 0

Как централизованно отловить уязвимости в spring+hibernate application

questionerв одном месте что-то волшебное написать?)))

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.08.2015, 16:42

#39030942

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщения: 39 476
Рейтинг: 0 / 0

Как централизованно отловить уязвимости в spring+hibernate application

questioner,
у тебя задача - пойди туда, не зная куда - принеси то, незная что)).
Оставь её архитектору проекта.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.08.2015, 17:09

#39030973

questioner

Гость

Как централизованно отловить уязвимости в spring+hibernate application

Petro123,

вот нашёл как в спринге заэскейпть весь html
http://stackoverflow.com/q/2147958/2674303

Ток это не покрывает варианты когда данные грузятся ajax-ом.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.08.2015, 17:18

#39030985

mayton

Участник

Откуда: loopback
Сообщения: 53 422
Рейтинг: 2 / 0

Как централизованно отловить уязвимости в spring+hibernate application

Есть такой тезис что невозможно финализировать тестирование безопасности.

И я с ним согласен.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.08.2015, 17:18

#39030986

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщения: 39 476
Рейтинг: 0 / 0

Как централизованно отловить уязвимости в spring+hibernate application

questioner,
авторТок это не покрывает варианты
угу.
Приплюсуй подмену сессии, куков и т.д.
В общем пока либо султан либо ишак не устанет).
Это тебя наказали, как молодого) ....шутка

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.08.2015, 17:29

#39030999

questioner

Гость

Как централизованно отловить уязвимости в spring+hibernate application

Petro123,

вот такую штуку вкрутил

http://www.servletsuite.com/servlets/xssflt.htm

ток хз от чего она поможет а от чего нет.

ту ошибку пофиксила

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.08.2015, 17:34

#39031006

questioner

Гость

Как централизованно отловить уязвимости в spring+hibernate application

maytonЕсть такой тезис что невозможно финализировать тестирование безопасности.

И я с ним согласен.

Это не отменяет факта, что нужно стараться это сделать

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.08.2015, 17:37

#39031008

Basil A. Sidorov

Участник

Сообщения: 11 633
Рейтинг: 0 / 0

Как централизованно отловить уязвимости в spring+hibernate application

Ещё полезно читать лицензионные соглашения используемого.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.08.2015, 22:19

#39031160

mayton

Участник

Откуда: loopback
Сообщения: 53 422
Рейтинг: 2 / 0

Как централизованно отловить уязвимости в spring+hibernate application

questionermaytonЕсть такой тезис что невозможно финализировать тестирование безопасности.

И я с ним согласен.

Это не отменяет факта, что нужно стараться это сделать
Я люто бешено ставлю плюсы. Постарайся не нарушить закон Парето. Удачи.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=59&mobile=1&tid=2125041]:	0ms
get settings:	6ms
get forum list:	9ms
check forum access:	2ms
check topic access:	2ms
track hit:	55ms
get topic data:	7ms
get forum data:	2ms
get page messages:	33ms
get tp. blocked users:	1ms
others:	204ms

total:	321ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы