ReSQL.ru
     
powered by simpleCommunicator - 2.0.61     © 2026 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / Java [игнор отключен] [закрыт для гостей] / Как централизованно отловить уязвимости в spring+hibernate application
23 сообщений из 23, страница 1 из 1
Как централизованно отловить уязвимости в spring+hibernate application
    #39030865
questioner
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
questioner
Гость
Есть spring+hibernate приложенька.

Встал вопрос о том, чтобы сайт был защищён от всякого рода уязвимостей. Так как раньше никто об этом не заморачивался, то список опасных мест туманен. Есть ли способ как-то централизованно исключить уязвимости ?

Вот нагуглил какую-то штутку.

http://www.hdiv.org/

кто-то использовал? норм штука? я не понял она только детектит или ещё и фиксит?

Какие-то другие варианты может?
...
Рейтинг: 0 / 0
17.08.2015, 15:57
| Ответить | Цитировать | Написать  
Как централизованно отловить уязвимости в spring+hibernate application
    #39030878
Atum1
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Atum1
Участник
questionerЕсть spring+hibernate приложенька.

Встал вопрос о том, чтобы сайт был защищён от всякого рода уязвимостей. Так как раньше никто об этом не заморачивался, то список опасных мест туманен. Есть ли способ как-то централизованно исключить уязвимости ?

Вот нагуглил какую-то штутку.

http://www.hdiv.org/

кто-то использовал? норм штука? я не понял она только детектит или ещё и фиксит?

Какие-то другие варианты может?

на каждом логическом слое свои защиты ...
от веба до базы
https (ssl) + .. ddos (nginx) + ... +CSRF + XSS + ... + sql injection (PreparedStatement) ...

какая нагрузка , какие транзакции (деньги или нет ?!) какая аудитория ? итд ...
...
Рейтинг: 0 / 0
17.08.2015, 16:06
| Ответить | Цитировать | Написать  
Как централизованно отловить уязвимости в spring+hibernate application
    #39030879
Atum1
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Atum1
Участник
questioner Есть ли способ как-то централизованно исключить уязвимости ?



да, не выпускать сайт в интернет.
...
Рейтинг: 0 / 0
17.08.2015, 16:08
| Ответить | Цитировать | Написать  
Как централизованно отловить уязвимости в spring+hibernate application
    #39030891
questioner
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
questioner
Гость
Atum1,

Допустим у юзера на сайте есть список контента. Юзер может менять имя картинки. На каком уровне ловить, например, чтоб он не ввел alert("ololo").

Получается, что если какой-то другой юзер зайдёт на страничку с этой картинкой у него выполнится скрипт другого юзера.
...
Рейтинг: 0 / 0
17.08.2015, 16:12
| Ответить | Цитировать | Написать  
Как централизованно отловить уязвимости в spring+hibernate application
    #39030900
Atum1
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Atum1
Участник
+ Поиск на сайте - лучше переводить на на что то типа apache.org/solr/
+ регистрация через капчу
+ любое место на сайте где есть тяжелые операции ,которые грущят базу и не могут быть закешированы
(кешировать , делать асинхронно, фоном , разруливать через очереди типа HornetQ итд )
...
Рейтинг: 0 / 0
17.08.2015, 16:15
| Ответить | Цитировать | Написать  
Как централизованно отловить уязвимости в spring+hibernate application
    #39030902
Фотография Petro123
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Petro123
Участник
questioner,
начни отсюда:
Код: java
1.
2.
txtUserId = getRequestString("UserId");
txtSQL = "SELECT * FROM Users WHERE UserId = " + txtUserId;


Если юзверь\программист передаст вместо "105" строку "105 or 1=1",
то что будет?
...
Рейтинг: 0 / 0
17.08.2015, 16:17
| Ответить | Цитировать | Написать  
Как централизованно отловить уязвимости в spring+hibernate application
    #39030904
Atum1
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Atum1
Участник
questionerAtum1,

Допустим у юзера на сайте есть список контента. Юзер может менять имя картинки. На каком уровне ловить, например, чтоб он не ввел alert("ololo").

Получается, что если какой-то другой юзер зайдёт на страничку с этой картинкой у него выполнится скрипт другого юзера.

опишите кейс подробнее !

он меняет свои картинки ?

Экранировать , удалять спецсимволы ... хранить текст в виде кодов итд ... ?! не ?
...
Рейтинг: 0 / 0
17.08.2015, 16:18
| Ответить | Цитировать | Написать  
Как централизованно отловить уязвимости в spring+hibernate application
    #39030911
questioner
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
questioner
Гость
Petro123questioner,
начни отсюда:
Код: java
1.
2.
txtUserId = getRequestString("UserId");
txtSQL = "SELECT * FROM Users WHERE UserId = " + txtUserId;


Если юзверь\программист передаст вместо "105" строку "105 or 1=1",
то что будет?

инъекция, я понимаю
...
Рейтинг: 0 / 0
17.08.2015, 16:20
| Ответить | Цитировать | Написать  
Как централизованно отловить уязвимости в spring+hibernate application
    #39030913
Фотография Petro123
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Petro123
Участник
questionerинъекция, я понимаю
ну видишь, всё знаешь))
...
Рейтинг: 0 / 0
17.08.2015, 16:21
| Ответить | Цитировать | Написать  
Как централизованно отловить уязвимости в spring+hibernate application
    #39030918
questioner
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
questioner
Гость
Atum1questionerAtum1,

Допустим у юзера на сайте есть список контента. Юзер может менять имя картинки. На каком уровне ловить, например, чтоб он не ввел alert("ololo").

Получается, что если какой-то другой юзер зайдёт на страничку с этой картинкой у него выполнится скрипт другого юзера.

опишите кейс подробнее !

он меняет свои картинки ?

Экранировать , удалять спецсимволы ... хранить текст в виде кодов итд ... ?! не ?

Он является автором этой картинки. То есть человек, который её загрузил является её оунером и может менять имя.

Но для чтения эти картинки видны и другим юзерам.


Как решить проблему в частном случае -ясно. Просто найти все места не представляется возможным. Есть ли какой-то способ в одном месте что-то волшебное написать?
...
Рейтинг: 0 / 0
17.08.2015, 16:23
| Ответить | Цитировать | Написать  
Как централизованно отловить уязвимости в spring+hibernate application
    #39030919
questioner
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
questioner
Гость
Petro123questionerинъекция, я понимаю
ну видишь, всё знаешь))

Вопрос заключается в централизованом фиксе таких ситуаций. Есть ли он.
...
Рейтинг: 0 / 0
17.08.2015, 16:24
| Ответить | Цитировать | Написать  
Как централизованно отловить уязвимости в spring+hibernate application
    #39030925
questioner
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
questioner
Гость
sql инъекций вроде не должно быть, потому что используем везде namedQuery
...
Рейтинг: 0 / 0
17.08.2015, 16:27
| Ответить | Цитировать | Написать  
Как централизованно отловить уязвимости в spring+hibernate application
    #39030926
Atum1
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Atum1
Участник
Petro123questioner,
начни отсюда:
Код: java
1.
2.
txtUserId = getRequestString("UserId");
txtSQL = "SELECT * FROM Users WHERE UserId = " + txtUserId;


Если юзверь\программист передаст вместо "105" строку "105 or 1=1",
то что будет?
авторЕсть spring+hibernate приложенька.
Да у него там скорее всего spring data -, автор там хоть один sql в живом виде есть?

Может нужно экранировать html / и имена файлов по аналогии
к примеру чтобы выводить html в виде html и чтобы все экранировать :
Код: java
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
public class HtmlParser {
    
    public static String stringEncoding(String str) {
        if(str == null || str.isEmpty()) return str;
        
        char[] chars = str.toCharArray();
        StringBuilder sb = new StringBuilder();
        for (char c : chars) {
            if(c == '&')
              sb.append("&");
             else         
            sb.append("&#").append((int) c).append(";");
        }
        return sb.toString();
    }
    
}
...
Рейтинг: 0 / 0
17.08.2015, 16:27
| Ответить | Цитировать | Написать  
Как централизованно отловить уязвимости в spring+hibernate application
    #39030931
Atum1
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Atum1
Участник
questionerAtum1пропущено...


опишите кейс подробнее !

он меняет свои картинки ?

Экранировать , удалять спецсимволы ... хранить текст в виде кодов итд ... ?! не ?

Он является автором этой картинки. То есть человек, который её загрузил является её оунером и может менять имя.

Но для чтения эти картинки видны и другим юзерам.


Как решить проблему в частном случае -ясно. Просто найти все места не представляется возможным. Есть ли какой-то способ в одном месте что-то волшебное написать?

все слабые месте https (ssl) + .. ddos (nginx) + ... +CSRF + XSS + ... + sql injection (PreparedStatement) ...
+ еще могут накидать


по поводу имен картинок - генери свое имя рандромнон и случайное или uid или datetime_login_ID
а пользователю - показывай как вариает - его имя которое он ввел , но экранированное тобой ... или предварительно удалив из него спецсимволы. и проверив на javascript eval
...
Рейтинг: 0 / 0
17.08.2015, 16:32
| Ответить | Цитировать | Написать  
Как централизованно отловить уязвимости в spring+hibernate application
    #39030939
Фотография Petro123
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Petro123
Участник
questionerв одном месте что-то волшебное написать?)))
...
Рейтинг: 0 / 0
17.08.2015, 16:40
| Ответить | Цитировать | Написать  
Как централизованно отловить уязвимости в spring+hibernate application
    #39030942
Фотография Petro123
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Petro123
Участник
questioner,
у тебя задача - пойди туда, не зная куда - принеси то, незная что)).
Оставь её архитектору проекта.
...
Рейтинг: 0 / 0
17.08.2015, 16:42
| Ответить | Цитировать | Написать  
Как централизованно отловить уязвимости в spring+hibernate application
    #39030973
questioner
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
questioner
Гость
Petro123,

вот нашёл как в спринге заэскейпть весь html
http://stackoverflow.com/q/2147958/2674303

Ток это не покрывает варианты когда данные грузятся ajax-ом.
...
Рейтинг: 0 / 0
17.08.2015, 17:09
| Ответить | Цитировать | Написать  
Как централизованно отловить уязвимости в spring+hibernate application
    #39030985
Фотография mayton
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
mayton
Участник
Есть такой тезис что невозможно финализировать тестирование безопасности.

И я с ним согласен.
...
Рейтинг: 0 / 0
17.08.2015, 17:18
| Ответить | Цитировать | Написать  
Как централизованно отловить уязвимости в spring+hibernate application
    #39030986
Фотография Petro123
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Petro123
Участник
questioner,
авторТок это не покрывает варианты
угу.
Приплюсуй подмену сессии, куков и т.д.
В общем пока либо султан либо ишак не устанет).
Это тебя наказали, как молодого) ....шутка
...
Рейтинг: 0 / 0
17.08.2015, 17:18
| Ответить | Цитировать | Написать  
Как централизованно отловить уязвимости в spring+hibernate application
    #39030999
questioner
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
questioner
Гость
Petro123,

вот такую штуку вкрутил

http://www.servletsuite.com/servlets/xssflt.htm

ток хз от чего она поможет а от чего нет.

ту ошибку пофиксила
...
Рейтинг: 0 / 0
17.08.2015, 17:29
| Ответить | Цитировать | Написать  
Как централизованно отловить уязвимости в spring+hibernate application
    #39031006
questioner
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
questioner
Гость
maytonЕсть такой тезис что невозможно финализировать тестирование безопасности.

И я с ним согласен.

Это не отменяет факта, что нужно стараться это сделать
...
Рейтинг: 0 / 0
17.08.2015, 17:34
| Ответить | Цитировать | Написать  
Как централизованно отловить уязвимости в spring+hibernate application
    #39031008
Basil A. Sidorov
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Basil A. Sidorov
Участник
Ещё полезно читать лицензионные соглашения используемого.
...
Рейтинг: 0 / 0
17.08.2015, 17:37
| Ответить | Цитировать | Написать  
Как централизованно отловить уязвимости в spring+hibernate application
    #39031160
Фотография mayton
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
mayton
Участник
questionermaytonЕсть такой тезис что невозможно финализировать тестирование безопасности.

И я с ним согласен.

Это не отменяет факта, что нужно стараться это сделать
Я люто бешено ставлю плюсы. Постарайся не нарушить закон Парето. Удачи.
...
Рейтинг: 0 / 0
17.08.2015, 22:19
| Ответить | Цитировать | Написать  
23 сообщений из 23, страница 1 из 1
Форумы / Java [игнор отключен] [закрыт для гостей] / Как централизованно отловить уязвимости в spring+hibernate application
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение   Полит. конфиден.  
NoSQL.ru       Кролег: Проекты, Новости, Чат       РЕД ФОРУМ       Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?fid=59&msg=39030904&tid=2125041]:
 0ms
get settings:
 6ms
get forum list:
 19ms
check forum access:
 3ms
check topic access:
 3ms
track hit:
 555ms
get topic data:
 6ms
get forum data:
 2ms
get page messages:
 33ms
get tp. blocked users:
 1ms
others: 212ms
total:  840ms
созд. / загр.: 840ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]