資安JAVA(二):錯誤訊息管理

來源:John Melton's Weblog
標題:YEAR OF SECURITY FOR JAVA – WEEK 2 – ERROR HANDLING IN WEB.XML
作者:John Melton
內文:
What is it and why do I care?

作者在 另一篇文章 討論過這個議題,你也可以在 OWASP的 TOP 10 找到相關資訊。本篇將介紹重點。通常,網站的錯誤或例外情形管理很容易被忽略。由於涵蓋範圍廣泛,作者只介紹J2EE的WEB應用程式。

事實上,一般人對於例外情形管理的最大煩惱之一是你並沒有"確實的管理例外情形"。反而是你的程式碼或是第三方的程式碼,常讓例外情況跳出來。當例外情況發生時,此時已到程式的邊界(boundary)。通常,預設情況會將所有例外堆疊紀錄(exception stack trace)列印出來。這是個大問題,這些資訊給予攻擊者太多參考資料,針對你的系統作進一步的分析。

What should I do about it?

解決這個問題的方法很直接了當。作者的建議是最少要在 java.lang.Throwable 中提供 error handler,特定的例外情況要提供特定handler(像是 http error codes: 404, 500)。以下是一個web.xml的範例。

<error-page>
  <error-code>404</error-code>
  <location>/error.jsp</location>
</error-page>
<error-page>
  <error-code>500</error-code>
  <location>/error.jsp</location>
</error-page>
<error-page>
  <exception-type>java.lang.Throwable</exception-type>
  <location>/error.jsp</location>
</error-page>

你的網站應用程式中可能會有很多的例外情況,但是從資安的角度而言,控制例外情況和以代碼將錯誤訊息編號,才是個安全的作法。

註:error.jsp應該只提供罐頭錯誤訊息,避免攻擊者得到更多資訊。

參考資料
1.TWISC 的 資訊揭露與不適當錯誤處置
2.http://software-security.sans.org/blog/2010/08/11/security-misconfigurations-java-webxml-files
3.http://www.jtmelton.com/2010/06/02/the-owasp-top-ten-and-esapi-part-7-information-leakage-and-improper-error-handling/

———–———–
資安Java: 上一篇 || 下一篇
———–———–

留言

張貼留言

這個網誌中的熱門文章

資安JAVA(八):HTTP強制傳輸安全(HSTS)

圖片
來源: John Melton's Weblog 標題:YEAR OF SECURITY FOR JAVA – WEEK 8 – HTTP STRICT TRANSPORT SECURITY 作者:John Melton 內文: Safe path. What is it and why should I care? HTTP強制安全傳輸技術,強制所有瀏覽器只能透過SSL或TLS連線到網站。 只要在HTTP網頁標頭加上特殊的HSTS,支援HSTS的瀏覽器就會限定只能經由HTTPS連線。以下是流程: 第一步,使用者造訪網站,不論透過HTTP或HTTPS。通常大部分是HTTP。 第二步,網站輸出網頁,內容包含HSTS標頭。90天內都只能透過HTTPS連線。 第三步,支援HSTS的瀏覽器90天內都不會送出 "非SSL" 的要求給網站。
更多詳細 »

以 SharpPcap 實作可收聽封包的 C# 程式

有個需求是收聽網站的流量,檢查是否有包含特定格式資訊的封包。從幾天前開始思考相關實作的問題。 如何檢查有人透過 Http 方式連線到網站? 側錄本機或同網段的封包才能滿足收聽的需求。Http協定送出的封包,到了底層是走tcp/ip,只要能夠抓取tcp/ip封包,並轉換成可處理的格式,就能檢查是否有人送出資訊。 今天的情境是要監聽同網段的網站流量,於是開始搜尋可用工具。其中,在Windows環境最有名的就是 WinPcap ,網路上已經有熱心人士提供包裹在 C# 的元件,只要先安裝好WinPcap,然後下載元件到自己的應用程式,即可收聽封包。該元件就是 SharpPcap ,2004年,美國的 Tamir Gal 為了完成大學的專案,在.NET 應用程式中使用 WinPcap 的功能,因此順便開發了SharpPcap 。他甚至寫了範例,使得開發人員可以更快學習如何利用他的元件,詳細資料請到  他的網站 。 如何使用SharpPcap ? 第一,下載 WinPcap,並妥善安裝完畢。( 下載連結 ) 第二,下載 SharpPcap 。( 下載連結 ) 第三,將 PacketDotNet.dll 和 SharpPcap.dll 加入到應用程式的參考中。 using SharpPcap; using SharpPcap.LibPcap; using PacketDotNet;
更多詳細 »

資安JAVA(四):Session Cookie HTTPOnly Flag

圖片
來源: John Melton's Weblog 標題:YEAR OF SECURITY FOR JAVA – WEEK 4 – SESSION COOKIE HTTPONLY FLAG 作者:John Melton 內文: What is it and why do I care? Session cookies(或是包含 JSESSIONID 的 cookie)用來管理WEB應用程式的 Session。這些 Cookies 包含特定使用者的 Session ID 的參考值,而同樣的 ID 也放在伺服器端並可識別該使用者其他的 Session 資料。這是最常用的管理方式,因為 cookies 會隨著每次 request 送出。 HttpOnly flag 作用是預防攻擊者透過 XSS 弱點獲得 session cookie。一旦 XSS 攻擊者成功,攻擊者便可以挾持受害者的 session 以合法身分登入。HttpOnly flag 對於這種攻擊十分有效。
更多詳細 »