Struts2 (Java EE) 项目中的安全问题答案

【问题标题】：Security Concerns in Struts2 (Java EE) projectsStruts2 (Java EE) 项目中的安全问题
【发布时间】：2015-09-28 14:32:51
【问题描述】：

我正在使用 Struts-2 框架在 java 中创建一个 Web 门户。 Java EE Web 门户中可能存在哪些漏洞以及如何防止我的门户受到这些漏洞的攻击。相关链接将不胜感激。

【问题讨论】：

CSRF、XSS 与任何其他框架一样。请务必使用最新版本，并在新版本发布时快速升级（由于安全修复）。另请注意，J2EE 是 Java 1.4；从 Java 1.5 开始就是 JAVA EE

标签： security jakarta-ee struts2 struts

【解决方案1】：

首先您要熟悉前 10 种网络攻击： owasp top ten

然后您定期检查您的框架的已发布漏洞： struts vulnerabilities

在某些时候，有些工具可以自动完成其中的一部分。

【讨论】：

你能告诉我那些可以自动化的工具吗？？
您可以从网络漏洞扫描器开始，例如 OWASP Zap project，它可以集成到您的构建过程中。

【解决方案2】：

主要有两个区域：

让您的 struts 框架保持最新。始终检查https://struts.apache.org/docs/security-bulletins.html。这是必须的，当您使用框架时，框架中的安全漏洞意味着您的应用程序中的安全漏洞。
如https://www.owasp.org/index.php/Category%3aOWASP_Top_Ten_Project 中所述，开发您自己的安全站点

这里有一些提示：

如果您在 jsp 中使用 ${}，请考虑它们不是 xss 安全的，您可以按照 http://pukkaone.github.io/2011/01/03/jsp-cross-site-scripting-elresolver.html 中的说明将它们设为 xss 安全。您可以使用 xss 安全的s:property
如果您使用 ModelDriven，请考虑 ModelDriven 拦截器是盲目的！ Does the ModelDriven interface poses a security explot in struts2?
考虑一下，您可以通过在 web.xml 和 server.xml 中使用正确的参数设置应用程序来避免一些安全问题，而不是使用 struts 处理它们，例如：

：

    <session-config>
           <cookie-config>
            <http-only>true</http-only>
            <secure>true</secure>
        </cookie-config>
        <!--This will prevent jsession url re-writing -->
        <tracking-mode>COOKIE</tracking-mode>
    </session-config>

您可以在您的支柱上使用弹簧安全性。 spring security 可以处理session-fixation 和csrf 的一些问题，而无需编写任何代码。

【讨论】：