OWASP十大攻击与Spring安全

Question

我正在评估我的web应用程序的安全性。因为我在我的web应用程序中使用了Spring，所以我想利用Spring Security框架。我搜索了更多关于网络安全的信息，偶然发现了OWASP社区，它是排名前十的攻击。所以我的问题是:配置Spring Security来保护我的应用程序就足够了吗？OWASP top 10 (2013)中的哪些安全威胁是由Spring security Framework处理的？

Answer 1

构建安全的应用程序是一项具有挑战性的任务，没有“银弹”产品可以使应用程序自动为您提供安全保护。因此，Spring Security的简单使用并不意味着您的应用程序就是安全的！Spring Security是一个很棒的工具，可以帮助构建安全的应用程序的许多方面，但就像任何工具一样，你需要知道如何正确使用它。

Spring Security至少可以帮助您解决以下OWASP TOP10问题：

SpringSecurityA2-中断的身份验证和会话管理-通过提供高效和安全的身份验证和会话management

• A4-Insecure直接对象引用机制-通过提供application

• A6-Sensitive数据公开中的授权机制-
• 的加密模块通过提供UI和服务器side
• A8-Cross-Site请求伪造( CSRF )中的授权方法，提供必要的加密和功能级访问控制-通过支持令牌的生成和验证减轻
  • 攻击

Answer 2

我建议使用分层的安全体系结构。我的意思是，手动创建安全的应用程序是可能的，但实现起来极其困难。一些安全特性，如身份验证和基本访问控制(url级或GUI组件级)相对容易实现，但实例级安全性(特别是与遗留数据库一起使用)、Sql注入和XSS等要求则较难实现。

我建议使用Spring Security并实现尽可能多的自定义验证。除此之外，我建议使用HDIV，以便添加额外的安全层，以帮助避免利用自定义验证未涵盖的风险。具体地说，HDIV提供的功能包括：

• A1- Injection：关于HTTP值和urls，HDIV将此漏洞的风险降低到仅来自表单中的文本字段的数据，对来自客户端的其余数据应用完整性验证(确保收到的值与在服务器端生成的值相同)。对于表单中包含的文本字段，HDIV提供通用验证(白名单和黑名单)，以避免注入攻击注入攻击。
• A2-Broken身份验证和会话管理：HDIV不提供针对此web风险的功能。
• A3-XSS：与risks.
• A4-Insecure相同，但为了避免XSS直接对象引用：A1控制在服务器端生成的所有数据，确保数据的完整性并避免这种vulnerability.
• A5-Security错误配置：HDIV不包括用于此的特定功能，但不允许访问先前未由服务器发送的资源，从而避免利用意外行为或访问私有资源。HDIV提供保密功能来隐藏
• A6-Sensitive parameters.
• A7-Missing函数级访问控制的值:由于由HDIV实现的完整性验证，避免了对此漏洞的利用，并限制用户执行合法操作并维护提供的原始合同(图形用户界面或

application.

• A8-Cross-Site Request Forgery (CSRF)：HDIV添加了任意令牌来避免这个已知漏洞的vulnerability.

• A10-Unvalidated组件：HDIV不包括这方面的特定功能，但由于应用于用户的交互限制，在许多情况下无法利用CSRF重定向和转发：此漏洞主要与操作不可编辑的数据或之前在服务器端生成的数据有关。HDIV控制服务器发送的所有数据，不允许重定向到恶意网站。

除了这些防止OWASP十大网络风险的功能外，HDIV还会生成与针对您的网站的恶意活动或攻击相关的日志，包括所有有关攻击的信息和经过身份验证的网站中的用户名。

致以敬意，

罗伯托·贝拉斯科(HDIV团队)

Answer 3

你可以试试HDIV，它支持多个框架。