作为 Java 开发人员,大家对 Tomcat 都不陌生。我从业七年,任职的三家单位有两家都用 Tomcat 作为 Web 端服务器,以前年轻、见识浅,也很少关注 Web 应用的安全问题。
近两年,由于我们单位的客户主要是传统通信运营商,他们对所有入网的设备都有严格安全检查。每一次产品发往客户现场后,在进入机房前,甲方都会对服务器进行漏洞扫描,同时对部署在服务器上所有的 Web 应用进行渗透测试。
我们的硬件和软件产品,必须在所有的安全隐患都被修复后才允许进入机房。所以,我前前后后,总共进行了四次这样由漏扫而引发的加固工作。
这里,我将以自己工作中的漏洞加固经历为背景,整理并分享我们的漏洞加固措施,希望能对读者朋友们有所启发。
OWASP 公布的漏洞
OWASP 这个词,我是在产品第一次被客户方漏扫后发回的安全报告中看到的,甲方进行渗透测试是依据 OWASP 公布的、可以造成严重安全事件的隐患的 Top10,而我们的产品对这些漏洞根本没有任何防护措施。
科普一下,OWASP 是什么?
开放式 Web 应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息,其目的是协助个人、企业和机构来发现和使用可信赖软件。
上述定义是引用百度百科的定义,OWASP 公布的最新的 2017 Top10 漏洞列表如下:
Top 10 描述 危害
A1-Injection 注入 威胁数据库和应用安全
A2-Broker Authentication 破坏身份认证 无效的认证被当做正常认证
A3-Sensitive Data Exposure 敏感数据泄露 系统账号信息等被泄露
A4-XXE XML 外部处理器漏洞
A5-Broken Access Control 失效的访问控制 重放攻击
A6-Security Misconfiguration 安全配置错误 数据可能被窃取或修改
A7-XSS 跨站脚本攻击 应用被植入恶意代码
A8-Insecure Deserialization 不安全的反序列化 恶意篡改的对象被远程调用
A9-Using Components with Known Vulnerabilities 使用含有已知漏洞的组件 组件漏洞会给攻击者可乘之机<
隐藏内容