[转摘]Struts安全扩展解决OWASP高级安全弱点

上一篇 / 下一篇  2008-04-18 17:58:58 / 个人分类:软件测试技术

作者:Scott Delap

HDIV(HTTP Data Integrity Validator,HTTP数据完整性验证器)项目最近发布了1.1版。HDIV是Apache许可的Struts安全扩展项目,它为Struts 1.1增加了安全功能,维护API和Struts规范。HDIV验证包括:来自客户端的可编辑数据,如文本框的输入;以及一些不可编辑信息,如链接、隐藏域、组合框值、单选框和目的页(Destiny pages)等。

这次发布的版本围绕Cookie和可编辑数据进行验证:

Cookie保密性和完整性的验证。
可编辑数据的验证(文本框和文本域):使用可编辑数据的通用验证,HDIV可以在很大程度上消除源于跨站脚本(Cross-site scrīpting,XSS)和SQL注入(SQL Injection)攻击的风险。用户必须使用XML格式的规则来配置通用验证,基于这些定义的限制可以减少或消除攻击的风险。

HDIV网站上包含一个内容丰富的幻灯片展示:HDIV如何解决开放Web应用程序安全项目(Open Web Application Security Project)的前10大网站安全弱点。InfoQ和项目领导者Roberto Velasco Sarasola一起讨论了这个项目。对于创建HDIV项目背后的动机,他解释说:

我审查Web应用已经有好几年了。它们都有典型的弱点,如XSS、SQL注入和参数篡改。主要的原因是:开发者不关心这种类型弱点引起的风险,尤其是由不可编辑数据引起的(选择框、隐藏框、链接……)。
Struts是主要的Java Web框架,但它并没有为这些弱点提供透明的解决途径。Struts Validator被证明是有用的,但它并没有解决数据的完整性和保密性问题。

接下来InfoQ问了些HDIV与其它Web框架的集成问题,如JSF:

目前,我们在Struts 2版本上进行工作,内部版本已经发布。我们期望下个月会发布一个公开的beta版。项目的核心与Struts版本一样,唯一的区别是自定义标签,它扩展自Struts2的自定义标签扩展。
我们也在JSF版本上进行工作,花时间将新功能仔细地集成到JSF架构设计。我们期望在两个月内会有一个beta版的发布。到那时,我们就把工作集中在易受攻击的组件(如隐藏框、命令链接和输出链接等)、Cookie验证和目录遍历的弱点上。然后,我们就可以开始从事数据保密性方面的工作。

在最后,InfoQ还询问了关于HDIV未来发展的计划:

受关注的领域仍然相同:非编辑数据的完整性和保密性,可编辑数据的通用验证等。任务是扩展我们的技术,以与其它框架集成(Struts2、JSF和AJAX标签)。我们也从事新特性的开发,如:
  • 可编辑数据验证的自动化
  • Web管理工具(可视化日志、配置……)。
  • 产生警报(SMS、Email)。

Chico Chen, www.ChinaQA.com


TAG: 软件测试技术 Struts 漏洞 OWASP

 

评分:0

我来说两句

Open Toolbar