Struts2 (Java )项目中的安全问题

Question

我正在使用Struts-2框架在java中创建一个web门户。我们希望了解Java门户中可能存在哪些漏洞，以及如何防止我的门户链接到them.Related链接中。

Answer 1

首先，你要熟悉十大网络攻击：owasp前十名

然后定期检查已发布的框架漏洞：支柱漏洞

在某种程度上，有一些工具可以使这部分自动化。

Answer 2

有两个主要领域：

1. 保持struts框架的最新更新。总是检查https://struts.apache.org/docs/security-bulletins.html。这是必须的，当您使用框架时，框架中的安全漏洞意味着应用程序中的安全漏洞。
2. 如项目中所述，开发您自己的站点安全

以下是一些建议：

1. 如果您在jsp中使用${}，请考虑它们不是xss安全的，您可以像http://pukkaone.github.io/2011/01/03/jsp-cross-site-scripting-elresolver.html中提到的那样使xss安全。您可以使用s:property，它是xss安全的。
2. 如果您正在使用ModelDriven，请考虑ModelDriven拦截器是盲目的！ModelDriven接口会在struts2中造成安全漏洞吗？
3. 考虑到您可以避免一些安全问题，只需在web.xml和server.xml中使用正确的参数来设置应用程序，而不是使用struts处理它们，例如：

    <session-config>
           <cookie-config>
            <http-only>true</http-only>
            <secure>true</secure>
        </cookie-config>
        <!--This will prevent jsession url re-writing -->
        <tracking-mode>COOKIE</tracking-mode>
    </session-config>

1. 您可以使用弹簧安全与您的支柱。spring安全性无需编写任何代码就可以处理一些问题( session-fixation和csrf )。