ESAPI是owasp提供的一套API级别的web应用解决方案,本人通过对ESAPI和其提供的demo源码学习发现,关键的不是对其所提供的API的使用,而是其web应用安全防御体系的构建的思想。比如,您不一定要使用ESAPI去实现日志系统,而是应该明白,一套好的日志系统应该是怎么样子的,应具备什么样的特性等。
此外,在引入使用时可能会遇到不少麻烦,所以读者应根据自身的业务特性和需求进行整合,而不是一味的去粘贴和拼接。
1、Authentication
测试用于登录认证的ESAPI接口的步骤:
1.1、创建用户(方法的实现请参考FileBasedAuthenticator .java)
1.1.1、Authenticator instance = ESAPI.authenticator(); //实例化
1.1.2、User user = instance.createUser(accountName, password, password); //在users.txt 中创建一个新用户,【遗留问题:在createUser()中并未发现是写到users.txt文件】
1.1.3、instance.getUser(accountName).enable(); //使能账户
1.1.4、instance.getUser(accountName).unlock(); //解锁账户
1.2、用户登录(方法的实现请参考AbstractAuthenticator .java)
/*
1.2.1、必须预先在ESAPI.properties文件中设置UsernameParameterName和PasswordParameterName参数,因为login()会使用这两个参数的值去http请求中获取用户输入的用户名和密码。比如说,如果UsernameParameterName的值为username,那么login()会在http请求中去找username字段并获取其值(用户名)。
1.2.2、该函数用来检查发送该请求的用户是否已登录,如果没有就重定向让其登录,内部实现的具体步骤如下:
1) 检查用户是否已登录并存在会话中
a. 如果是,确认会话最长时间和闲置操作时间是否到达
b. 如果步骤1满足条件则步骤可跳过
2) 如果不满足步骤1,则需要对用户的凭证(用户名和密码)进行有效验证
a.建议使用ESAPI接口
loginWithUsernameAndPassword(HttpServletRequest, HttpServletResponse)
接口来验证用户凭证
3) 记录用户本次登录的主机IP
4) 验证本次请求的方式是否是安全的(比如POST+SSL)
5) 验证用户账户是否允许登录
a. 验证用户没有被禁用、过期和锁定等
6) 将用户分配到会话变量中
*/
【遗留问题:同一个用户重复登录时,是否只创建一个、Session Management
2.1、用户登录后更新session id的接口(防止会话定置攻击):
javax.servlet.http.HttpSession ESAPI.httpUtilities().changeSessionIdentifier(javax.servlet.http.HttpServletRequest request);
接口内部实现说明:将当前session数据拷贝到新session,并使当前session失效,并将新session绑定到当前user对象中,并返回新的session。
2.2、为URL增加CSRF token
2.2.1、为指定URL增加CSRF TOKEN
String transferFundsHref = "/SwingSet/main?function=TransferFunds&lab";
<a href='<%=ESAPI.httpUtilities().addCSRFToken(transferFundsHref)%>' >Transfer Funds</a>
说明:在url末尾添加的csrftoken值等于user.getCSRFToken()
2.2.2、在transferFundsHref的页面里验证request携带的和user的CSRF token是否一致。
ESAPI.httpUtilities().verifyCSRFToken();
if ( !user.getCSRFToken().equals( token ) ) { //验证两者是否一致
throw new IntrusionException("Authentication failed",
3、AccessControl
3.1、角色权限验证:
3.1.1、接口:ESAPI.accessController().assertAuthorizedForURL(java.lang.String url)
3.1.2、说明:检查当前用户对应的角色是否有权限访问url,权限的定义在esapi\fbac-policies\URLAccessRules.txt文件中。
3.1.3、接口源码分析:
ESAPI.accessController().assertAuthorizedForURL(string url)
this.assertAuthorized("AC 1.0 URL", new Object[] {url});
/*
在esapi\ESAPI-AccessControlPolicy.xml文件中获取name为“AC 1.0 URL”的访问控制信息:
*/
AccessControlRule rule = (AccessControlRule)ruleMap.get(key);
/*
将key对应的(此例key等于"AC 1.0 URL")对应的访问控制信息(如上图)作为 AccessControlRule接口的构造函数的入参(参考 AccessControlRule.java), 即顺序调用了以下3个函数:
void setPolicyParameters(P policyParameter);//P为访问控制信息
P getPolicyParameters();//该函数未重写,默认为空,故不执行
boolean isAuthorized(R runtimeParameter);//此处R为空,故在下面调用
*/
isAuthorized = rule.isAuthorized(runtimeParameter);
/*
此处runtimeParameter等于string url,经过setPolicyParameters()的设置,此 处调用isAuthorized()实际上等于调用FileBaseACRs.java中定义的 isAuthorizedForURL(),即实际效果等于:isAuthorizedForURL(string url),请参 考第4、5点的分析。
*/
3.1.4、void setPolicyParameters()的分析(源码在DelegatingACR.java):
void setPolicyParameters(DynaBeanACRParameter policyParameter)
delegateClassName =
policyParameter.getString("delegateClass", "").trim();
methodName =
policyParameter.getString("delegateMethod", "").trim();
parameterClassNames =
policyParameter.getStringArray("parameterClasses");
/*
由以上截图可知,此例的delegateClassName为:
org.owasp.esapi.reference.accesscontrol.FileBasedACRs;
methodName为:isAuthorizedForURL;
parameterClassNames为:java.lang.String
*/
Class delegateClass = getClass(delegateClassName, "delegate");
Class parameterClasses[] = getParameters(parameterClassNames);
/*
通过getClass获取FileBasedACRs类,【疑问:parameterClasses[]是什么呢?】
*/
this.delegateMethod = delegateClass.getMethod(methodName, parameterClasses);
/*
根据方法名来从FileBasedACRs类中获取方法,此例实际为isAuthorizedForURL()
*/
3.1.5、boolean isAuthorized ()的源码分析
boolean isAuthorized(Object[] runtimeParameters)
return ((Boolean)delegateMethod.invoke(delegateInstance,
runtimeParameters)).booleanValue();
/*
调用FileBasedACRs类中定义的回调函数,此例实际为isAuthorizedForURL(), runtimeParameters为要检查的内容,比如要访问的URL、service、function和file等, 此列为URL。
*/
3.1.6、boolean isAuthorizedForURL()的源码分析
urlMap = loadRules("URLAccessRules.txt");
/*
故实际定义URL访问控制权限的文件是URLAccessRules.txt,其它类似的还有 FunctionAccessRules.txt和DataAccessRules.txt等等,由以上的分析可知,实
际上最终会对哪个权限控制文件做检查是由void assertAuthorized(Object key,
Object runtimeParameter)的key决定的,key的值都在ESAPI-AccessControlPolicy.xml 文件中定义了,目前可能的值为"AC 1.0 Data"、"AC 1.0 File"、"AC 1.0 Function"、"AC 1.0 Service"、"AC 1.0 URL"。
补充说明: ESAPI提供的顶层接口(比如assertAuthorizedForURL()等)已经帮我们定义 好了要调用的key值了(如本例),因此实际上只需要修改权限控制文件 (URLAccessRules.txt、FunctionAccessRules.txt等)就可以了。
*/
return matchRule(urlMap, url);
/*
在URLAccessRules.txt检查当前用户的角色以及该角色是否有访问url的权限,
URLAccessRules.txt内容如下图所示:
*/
【遗留问题】:
是不是在过滤器中设置ESAPI的ESAPI.authenticator().login()和ESAPI.accessController().assertAuthorizedForURL()就可以解决每一个请求的认证和权限验证问题了?
3.2、直接对象引用:
3.2.1、使用随机映射表对象的样例代码:
<%@ page import="org.owasp.esapi.reference.RandomAccessReferenceMap"%>
<%
Set fileSet = new HashSet();
ArrayList list = new ArrayList();
list.add(msgID0); //将需要映射的资源的直接引用名(此处为message id)添加到list
list.add(msgID1);
……
fileSet.addAll(list);
RandomAccessReferenceMap MsgIDMap = new RandomAccessReferenceMap(fileSet);
/*调用ESAPI接口生成随机映射表对象*/
HttpSession sess = ESAPI.httpUtilities().getCurrentRequest().getSession(false);
sess.setAttribute("MsgIDMap ", MsgIDMap);
/*
此时应将映射表对象存放到安全的地方,比如:session
*/
String indirect = instance.getIndirectReference(msgID0));
/*
获取要被访问的资源的间接引用值,该值由ESAPI接口随机生成,并且每次进行映 射时值都会动态产生变化,因此,如果用户每次登录时进行重映射,那么用户在浏 览器端看到的间接引用值也会每次都不一样,也大大增加了防御CSRF攻击的能力。
*/
String href = "http://www.test.com?messageid=";
%>
<a href="<%=href + indirect %>">点击读取消息;
/*
将提供给用户读取消息的链接返回给用户,用户最终看到的链接将带上间接引用值。
例如:http://www.test.com?messageid=DfDsQK
*/
【说明】:当要映射的资源较多时,使用资源映射表可能会消耗较多的内存。
【遗留问题】:同一个用户重复登录都要重新映射?不同类型的资源(比如消息、Input Validation
4.1、使用自定义的正则表达式规则验证用户的输入数据。
4.1.1、接口说明:
接口1:
java.lang.String getValidInput(java.lang.String context, java.lang.String input, java.lang.String type, int maxLength, boolean allowNull)
功能说明:使用esapi/validation.properties文件中定义的正则表达式去验证用户的输入数据。
参数说明:
context:任意定义的字符串,主要用于日志打印信息。
Input:需要验证的输入字符。
Type:选择需要使用的一种正则表达式(见4.1.2)。
MaxLenth:允许输入字符的最大长度。
AllowNull:是否允许输入空字符(true为允许,false为不允许)。
返回:经过规范化和验证过滤后的字符串【遗留问题:实际验证时好像未返回字符串】
接口2:
isValidInput(java.lang.String context, java.lang.String input, java.lang.String type, int maxLength, boolean allowNull)
功能与getValidInput()一样,但不返回字符串,仅验证通过时返回true,否则返回false。
4.1.2、validation.properties文件的正则表达式定义如下:
4.1.3、样例代码:
String input = request.getParameter("input");
type = "SafeString"; //使用validation.properties文件定义的SafeString正则表达式规则
try {
ESAPI.validator().getValidInput(
"Swingset Validation Secure Exercise", input, type,
200, false);
} catch (ValidationException e) {
/*当检测到输入字符串不匹配正则表达式时产生该异常,应进行适当处理*/
input = "Validation attack detected";
request.setAttribute("userMessage", e.getUserMessage());
request.setAttribute("logMessage", e.getLogMessage());
} catch (Exception e) {
input = "exception thrown";
request.setAttribute("logMessage", e.getMessage());
}
接口3:void assertValidFileUpload(java.lang.String context,
java.lang.String filepath, java.lang.String filename, java.io.File parent, byte[] content, int maxBytes, java.util.List<java.lang.String> allowedExtensions, boolean allowNull)
功能说明:对上传文件的路径、文件名、扩展名和文件大小进行检查。
参数说明:略。
函数分析:
void assertValidFileUpload(String context, String directorypath, String filename, File parent, byte[] content, int maxBytes, List<String> allowedExtensions, boolean allowNull)
、Output Encoding/Escaping
5.1、Canonicalize
术语解释:canonicalize是指将数据转换或解码成一个常见字符集的过程。这里的数据可以是经过多重混合编码的。比如:%3cscript%3ealert(%22xss%22)%3c%2fscript%3e还原成<script>alert("xss")</script>。:java.lang.String
canonicalize(java.lang.String input, boolean strict)
功能说明:将编码过的数据还原为其最简化的形式。
参数说明:
Input:输入数据。
strict:指定是否对输入数据进行多重和混合编码的检测,true时将触发IntrusionException,但不返回数据,而false将直接返回条规则定义的安全上下文以外,其它上下文都是无法安全地转义的,应避免出现,比如:
<script>...【用户数据】...</script> //直接输出到js标签内
<!--...【用户数据】...--> //直接输出到注释内
<div ... 【用户数据】...=test /> //直接输出到标签属性名
<..【用户数据】... href="/test" /> //作为标签名使用
<style>...【用户数据】...</style> //直接输出到CSS
……
5.3、对输出到解析器的数据进行编码/转义:
接口1:java.lang.String encodeForSQL(Codec codec, java.lang.String input)
功能说明:对SQL查询语句中用户控制的输入数据进行编码/转义。
参数说明:
codec:编码器,编码器的种类请参考在线接口文档àorg.owasp.esapi.codecs,针对数据查询的编码器有:java.lang.String encodeForOS(Codec codec, java.lang.String input)
功能说明:对传递给OS shell的输入数据进行编码/转义。
参数说明:
codec:编码器,编码器的种类请参考在线接口文档àorg.owasp.esapi.codecs,针对OS command shell的编码器有:java.lang.String encodeForLDAP(java.lang.String input)
功能说明:对LDAP查询数据的编码/转义。
参数说明:LDAP查询输入数据
更多API请参考在线接口文档:org.owasp.esapiàEncoder。
6、Cryptography
6.1、加、解密
接口1:CipherText encrypt(PlainText plaintext)
功能说明:对plaintext数据进行加密,加密的算法/模式/填充方式和加密密钥在ESAPI.properties文件中定义(默认AES128/CBC/PKCS5Padding)。
参数说明:
plaintext:需要加密的明文数据:PlainText decrypt(CipherText ciphertext)
功能说明:对ciphertext数据进行解密。
参数说明:
ciphertext:需要解密的密文:java.lang.String hash(java.lang.String plaintext,java.lang.String salt,int iterations)
功能说明:对数据进行哈希。
参数说明:
plaintext:需要hash的数据:获取随机字符串:
以下参考《web安全开发指南v1.1》
接口:java.lang.String ESAPI.randomizer().getRandomString(int length,char[] characterSet)
说明:从固定字符数组characterset中获取长度为length的随机字符串,本接口可用于生成各种自定义长度和复杂度的随机token,比如CSRF同步token等。
样例代码:
char[] CHAR_DIGITS = { '0', '1', '2', '3', '4', '5', '6', '7', '8'};
char[] CHAR_LETTERS = { 'a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i'};
char[] CHAR_ALPHANUMERICS = StringUtilities.union(CHAR_LETTERS, CHAR_DIGITS);
ESAPI.randomizer().getRandomString(6,CHAR_ALPHANUMERICS);
执行结果样例:0edec6,cjefic等6位随机字符串。
接口2:获取随机GUID:
接口:位的GUID格式的随机字符串。
样例代码:略
执行结果样例:53110e13-804a-4041-a547-09399c2791ea等
接口3:获取随机整数:
接口:int ESAPI.randomizer().getRandomInteger(int min,int max)
说明:获取min到max范围的随机整数。
样例代码:ESAPI.randomizer().getRandomInteger(-100,100)
执行结果样例:-11、55等。
接口4:获取随机文件名:
接口:java.lang.String getRandomFilename(java.lang.String extension)
说明:生成随机字符串作为文件名,并添加extension作为文件扩展名。
样例代码:ESAPI.randomizer().getRandomFilename("exe")
执行结果样例:X4f0cafF0Mkj.exe、CzkmUsLKFx7c.exe等。
接口5:获取随机长整数:
接口:long ESAPI.randomizer().getRandomLong()
说明:获取随机长整数。
样例代码:略
执行结果样例:8712910770684726225、6703356794875845559等。
更多随机函数接口请参考:
http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/index.html
org.owasp.esapiàRandomizer
7、Error Handling and Logging
7.1、日志记录
7.1.1、日志接口说明:
ESAPI日志接口定义了6个级别的日志等级:
- fatal (highest value)
- error
- warning
- info
- debug
- trace (lowest value)
同时也预定义了4类日志事件:SECURITY_SUCCESS, SECURITY_FAILURE, EVENT_SUCCESS, EVENT_FAILURE,用于区分安全相关的事件和普通事件。
和日志相关的配置参数在ESAPI.properties设置,可配置参数:
Logger.ApplicationName:应用程序名,表示日志是哪个应用程序产生的。
Logger.LogEncodingRequired:true表示当日志包含特殊字符时自动进行转义后再记录。
Logger.LogApplicationName:true表示在日志中记录应用程序吗。
Logger.LogServerIP:true表示在日志中记录服务器的IP。
Logger.LogFileName:日志的名称(必须预先在存在)。
Logger.MaxLogFileSize:单个日志文件的最大容量,超过时自动切到另外一个日志文件。
7.1.2、接口:
原型:
Logger getLogger(java.lang.String moduleName)
参数说明:
moduleName:logger使用来标记该日志是应用程序的哪个模块产生的。
原型:
Void fatal(Logger.EventType type, java.lang.String message)
参数说明:
Type:事件类型。
Message:要记录的日志信息。
与logger相关的方法和参数请参考ESAPI在线帮忙文档:
org.owasp.esapiàlogger
7.1.2、样例代码:
WriterAppender appender = new WriterAppender(new SimpleLayout(), out);
org.apache.log4j.Logger.getRootLogger().addAppender(appender);
Logger logger = ESAPI.getLogger("LoggingTutorialModule");
logger.fatal(Logger.SECURITY_FAILURE, " <script>alert('123')</script>");
logger.debug(Logger.EVENT_SUCCESS, " <scr<script>ipt>alert('abc')</script> ");
org.apache.log4j.Logger.getRootLogger().removeAppender(appender);
7.1.3、输出结果:
181681687 [http-8443-2] FATAL SwingSetInteractive:LoggingTutorialModule - [SECURITY FAILURE Anonymous:308755@unknown -> /SwingSetInteractive/LoggingTutorialModule] <script>alert('123')</script> (Encoded)
181681687 [http-8443-2] DEBUG SwingSetInteractive:LoggingTutorialModule - [EVENT SUCCESS Anonymous:308755@unknown -> /SwingSetInteractive/LoggingTutorialModule] <scr<script>ipt>alert('abc')</script> (Encoded)
在与具体业务相结合时,应提供足够的信息作为回溯的依据,应提供的信息如下:
导致事件发生的源对象(比如用户id,用户名等);
对事件的描述;
事件的结果(成功或失败);
事件的严重等级(在具体的业务事件中定义,然后调用ESAPI接口执行);
事件的类型(在具体的业务事件中定义,然后调用ESAPI接口执行);
发生事件的源IP和目标主机IP;
发生事件的时间。
7.2、错误处理
8、Data Protection
8.1、数据缓存
接口:
void setNoCacheHeaders(javax.servlet.http.HttpServletResponse response)
功能说明:为指定的response设置Cache-Control和、Http Security
9.1、URL重定向
9.1.1、接口:
void sendRedirect(javax.servlet.http.HttpServletResponse response,java.lang.String location)
功能说明:对需要重定向的参数进行判断,如果重定向的URL不符合"Redirect"正则表达式的要求,则触发异常,并重定向回主页。
参数说明:
response:指定的http response,当该参数为空时表示当前request的对应的response。
location:重定向的URL。
样例代码:
<%
String redirect = request.getParameter("redirect");
if (redirect != null){
//response.sendRedirect(redirect);
ESAPI.httpUtilities().sendRedirect(redirect);
}
%>
9.1.2、对sendRedirect的源代码分析:
void sendRedirect(javax.servlet.http.HttpServletResponse response,java.lang.String location)
ESAPI.validator().isValidRedirectLocation("Redirect", location, false)
ESAPI.validator().isValidInput( context, input, "Redirect", 512, allowNull);
/*通过ESAPI.properties文件中的Redirect正则表达式进行过滤判断:
Validator.Redirect=^/SwingSet/.+,此处使用的是相对路径,表示ESAPI只允许 重定向到当前站点的URL*/
response.sendRedirect(location);
10、:
void addCookie(javax.servlet.http.Cookie cookie)
功能描述:添加新的cookie,并为新cookie设置http only和secure属性。
接口2:void addHeader(java.lang.String name,java.lang.String value)
功能描述:为当前response添加新的header。
接口3:void assertSecureRequest() throws AccessControlException
功能描述:检查当前request是否是安全的(ssl+post),如果不是则产生异常,服务器应调用该接口对所有包含敏感数据的request做检查,保证敏感数据不会被嗅探、记录到日志。
接口4:void assertSecureChannel() throws AccessControlException
功能描述:检查当前request是否是通过SSL传输,如果不是则产生异常,服务器应调用该接口对所有包含敏感数据的request做检查,保证敏感数据不会被嗅探。
接口5:java.lang.String getCookie(java.lang.String name)
功能描述:根据cookie name来获取cookie的值。
接口6:java.lang.String getHeader(java.lang.String name)
功能描述:根据header name获取当前request的header值