如何写安全的Java Web应用之输入校验(一):不要在输出中包含Debug信息
2009-08-12 16:56
856 查看
在写程序的过程中,免不了有调试环节。除了使用Debug工具,很多开发人员都习惯在代码中写一些输出语句,以便找到问题所在。其实,在输出中包含Debug信息,有很多弊端,本文将通过简单例子,阐述为什么不应该在输出中包含Debug信息,以及如何解决这个问题。
因为Debug信息可能包含很多敏感信息,入调用栈、源代码片断等。所以,即使在开发期间Debug信息比较有用,但是在应用部署后,也要尽量避免向客户端泄漏包含内部异常的数据。
Debuy信息的目的往往是识别或检测出应用的潜在问题。可是使用如下手段,保证Debug信息没有被提交到客户端。
1. 通过日志机制,收集Debug信息。使用日志机制,替代通过HTTP响应传递Debug信息到客户端。参考日志安全操作指南,来确定哪些消息应该被记录到日志中,哪些应该被忽略
2. 使用正确的异常处理。有两种方法可以处理异常,使得应用能优雅退出,并且能对客户端隐藏Debug信息和源代码。
1) 动态处理:这种方式允许在Java代码中处理异常。由try/catch/finally语句块组成。使用动态处理允许你的应用能够将错误记录到日志中,并且将错误信息提示给用户,同时不暴露有关异常的详细信息。
2)JSP错误页面:JSP错误页面提供一种有效的方式提醒用户应用出错了。错误页面的位置在web.xml中使用<location>标记来指定。对特定的异常类型,创建错误页面,不仅能保护敏感数据不被暴露给客户端,同时还能提高用户体验。针对某一个特定用户而不是开发员,设计错误页面,是非常有效的,不会包含黑客所需要的信息。
如:<error-page>
<exception-type>java.lang.NullPointerException</exception-type>
<location>/NPEerror.html</location>
</error-page>
因为Debug信息可能包含很多敏感信息,入调用栈、源代码片断等。所以,即使在开发期间Debug信息比较有用,但是在应用部署后,也要尽量避免向客户端泄漏包含内部异常的数据。
Debuy信息的目的往往是识别或检测出应用的潜在问题。可是使用如下手段,保证Debug信息没有被提交到客户端。
1. 通过日志机制,收集Debug信息。使用日志机制,替代通过HTTP响应传递Debug信息到客户端。参考日志安全操作指南,来确定哪些消息应该被记录到日志中,哪些应该被忽略
2. 使用正确的异常处理。有两种方法可以处理异常,使得应用能优雅退出,并且能对客户端隐藏Debug信息和源代码。
1) 动态处理:这种方式允许在Java代码中处理异常。由try/catch/finally语句块组成。使用动态处理允许你的应用能够将错误记录到日志中,并且将错误信息提示给用户,同时不暴露有关异常的详细信息。
2)JSP错误页面:JSP错误页面提供一种有效的方式提醒用户应用出错了。错误页面的位置在web.xml中使用<location>标记来指定。对特定的异常类型,创建错误页面,不仅能保护敏感数据不被暴露给客户端,同时还能提高用户体验。针对某一个特定用户而不是开发员,设计错误页面,是非常有效的,不会包含黑客所需要的信息。
如:<error-page>
<exception-type>java.lang.NullPointerException</exception-type>
<location>/NPEerror.html</location>
</error-page>
相关文章推荐
- 如何写安全的Java Web应用之输入校验(二):不要依赖客户端的校验
- 如何进行Web应用的安全测试和输入校验
- java应用中如何捕抓SAS存储过程输出的流信息
- JBoss 系列八十八: JBoss 安全问题 - 如何隐藏 web 应用出错时页面上显示的 JBoss 信息
- 在线/不重启/不暂停的对Java应用进行Debug,通过程序打断点并输出断点信息
- java 从键盘输入一个关键字,在 D:盘查找文件,如果文件名中包含该关键字,则输出这个文件的绝对路径,如果都没有找到,则输出找不到相关信息。
- 在WebView中如何让JS与Java安全地互相调用
- <java EE 项目:petstore> 从一个简单项目看 java web 如何在本jsp页面上对用户输入的格式进行限制与验证
- 在WebView中如何让JS与Java安全地互相调用
- Web应用安全之Response Header里的敏感信息
- 倍福TwinCAT(贝福Beckhoff)应用教程11.1 TwinCAT应用小程序1 如何读写数字量模拟量输入输出(DI,DO,AI,AO)
- 如何应用GPG加密使您的信息安全保障无忧
- 如何声明过期API,类似于调用非_s(安全版本)库函数,编译器输出警告信息
- java web 项目如何部署到互联网中 通过输入域名访问?
- Unity应用发布如何在本地查看Debug输出?
- JAVA如何把输入中文输出汉语拼音字母的原理与代码
- Web应用扫描测试工具Vega Vega是Kali Linux提供的图形化的Web应用扫描和测试平台工具。该工具提供代理和扫描两种模式。在代理模式中,安全人员可以分析Web应用的会话信息。通过工具自
- web安全——应用(java)
- JavaWeb框架_Struts2_(六)----->Struts2的输入校验
- win32调试工具原理OutputDebugString以及如何获取输出信息