高效率创建安全的Java应用, 第2部分 - 编程入门网

如果您不知道什么是 XSS 缺陷，那么请观看 Rational AppScan 所提供的视频。

修补缺陷

至此，您已经完成了对应用程序的扫描，并且发现了缺陷。下面我们使用 Rational AppScan 解决这些问题。

修正建议

我们现在已经知道什么是 XSS 问题，以及为什么必须将其消除。现在，我们学习如何修正它。点击修正建议标签，如图 26 中所示。

图 26. 修正

Rational AppScan 以一种开发人员友好的方式解释了如何修正 Web 应用程序内部的问题。

Rational AppScan 甚至提供了阻止该问题的 Java 代码示例行，如图 27 中所示。Rational AppScan 真好像将修正问题的工作简化到连小孩子都可以完成的地步了。

图 27. Rational AppScan 的修正代码

高效率创建安全的Java应用, 第2部分(12)

请求和响应

“请求和响应”提供了关于 Rational AppScan 对于您的 Web 应用程序进行实际测试的信息。Rational AppScan 首先发送一个正常的请求，然后再次发送同样的请求，但是根据缺陷测试稍作修改。如果您看到图 28 的话（其中显示“测试”打开），那么红色加亮的文本就是 Rational AppScan 针对您的 Web 应用程序所进行的实际测试（也就是变体）。这样做使您能够看到测试的具体细节。请注意代码窗口是如何显示测试的以及用红色显示了被修改的内容，这使您能够选择 AB 加亮按钮来调整到响应部分。您可以使用这一信息来手动地重现攻击，或者进行同类型的您自己的具体测试，然后将其保存在 Rational AppScan 中。您甚至可以在网络浏览器中显示测试的结果。

图 28. 请求和响应

变体就是 Rational AppScan 向您的 Web 应用程序服务器所发送的对原始测试请求所进行的细微修改。

如果您怀疑由 Rational AppScan 所提供的测试结果的有效性，您可以向 IBM Rational AppScan 支持团队发送错误定位报告。这一过程使得 Rational AppScan 将测试的细节通过电子邮件发送到 IBM 进行进一步地分析，但是请不用担心，这些详细信息默认情况下都是被加密后发送的。

修正具体问题

Rational AppScan 告诉您在 http://192.168.0.4:9080/wealth/realestate.jsp 中存在一个 Cross-Site Scripting（XSS）缺陷，也就是说 address 输入框可以被用于注入脚本（<scripts>），从而允许跨站点脚本攻击的发生。这种类型的攻击将导致攻击者盗取或者操纵一个经过许可证的用户的网络会话。

纵观 Rational AppScan 的结果，很明显在 city、create、state、value 和 zip 中存在类似的 XSS 问题，它们都被标记为 “Stored Cross-Site-Scripting”。

点击 Fix Recommendation 标签。Rational AppScan 提示了如何通过筛选有效字符修正这些问题，例如："&"、";"、"<"、"@" 等，并且提供了完成之一工作的 Java 代码。

所以，您需要在您的 Java 代码中添加负责输入有效性检查的代码，如列表 1 中所示，其含义是只接受以字母和数字字符。

列表 1. 输入有效性检查

if(request.getMethod().equals("POST")){ 　　　　 Pattern　input　=　Pattern.compile("[a-zA-Z0-9]*"); 　　　　　 Matcher　m　=　input.matcher(userid); 　　　　　 boolean　match　=　m.matches();

查看列表上的第二个缺陷，Rational AppScan 指出 http://192.168.0.4:9080/wealth/ 和 http://192.168.0.4:9080/wealth/login.jsp 易于遭受 Session Fixation 的攻击。Rational AppScan 告诉您，由于您的应用程序允许由用户浏览器创建会话 ID，所以一个用户的网络会话可能被盗取或者

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!