摘要:截至年月日��,將網(wǎng)站標(biāo)記為不安全�。管理密碼使用密碼哈希以純文本格式存儲(chǔ)密碼是最糟糕的事情之一。是中密碼哈希的主要接口��,如下所示提供了幾種實(shí)現(xiàn)�����,最受歡迎的是和���。
Spring Boot大大簡化了Spring應(yīng)用程序的開發(fā)�����。它的自動(dòng)配置和啟動(dòng)依賴大大減少了開始一個(gè)應(yīng)用所需的代碼和配置量���,如果你已經(jīng)習(xí)慣了Spring和大量XML配置,Spring Boot無疑是一股清新的空氣��。
Spring Boot于2014年首次發(fā)布�,自那以后發(fā)生了很多變化。安全性問題與代碼質(zhì)量和測(cè)試非常相似��,已經(jīng)日漸成為開發(fā)人員關(guān)心的問題����,如果你是開發(fā)人員并且不關(guān)心安全性,那么也許認(rèn)為一切理所當(dāng)然����。本文目的是介紹如何創(chuàng)建更安全的Spring Boot應(yīng)用程序。
馬特雷布爾與Simon Maple合作完成了這篇文章,他們都是為安全公司工作���,熱愛Java��,并希望幫助開發(fā)人員創(chuàng)建更安全的應(yīng)用程序�。我們認(rèn)為撰寫這篇文章將是回饋社區(qū)的有趣方式��。
1.在生產(chǎn)中使用HTTPS
傳輸層安全性(TLS)是HTTPS的官方名稱�,你可能聽說過它稱為SSL(安全套接字層),SSL是已棄用的名稱�,TLS是一種加密協(xié)議,可通過計(jì)算機(jī)網(wǎng)絡(luò)提供安全通信��。其主要目標(biāo)是確保計(jì)算機(jī)應(yīng)用程序之間的隱私和數(shù)據(jù)完整性���。
過去���,TLS / SSL證書很昂貴,而且HTTPS被認(rèn)為很慢����,現(xiàn)在機(jī)器變得更快,已經(jīng)解決了性能問題�,Let"s Encrypt提供免費(fèi)的TLS證書,這兩項(xiàng)發(fā)展改變了游戲��,并使TLS成為主流。
截至2018年7月24日�,Google Chrome 將HTTP網(wǎng)站標(biāo)記為“不安全”。雖然這在網(wǎng)絡(luò)社區(qū)引起了相當(dāng)多的爭議�����。知名安全研究員特洛伊亨特創(chuàng)建了一個(gè)為什么不適用HTTPS�?跟蹤不使用HTTPS的大型網(wǎng)站的網(wǎng)站。
Let’s Encrypt TLS證書可以自動(dòng)化生成和更新���,由于他們是免費(fèi)的��,所以沒有理由不去做����!Spring Boot Secured By Let’s Encrypt的加密是如何做到這一點(diǎn)的有用指南���。
要在Spring Boot應(yīng)用程序中強(qiáng)制使用HTTPS�,您可以擴(kuò)展WebSecurityConfigurerAdapter并要求安全連接����。
@Configuration
public class WebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.requiresChannel().requiresSecure();
}
}
另一個(gè)重要的事情是使用HTTP嚴(yán)格傳輸安全性(HSTS)���。HSTS是一種Web安全策略機(jī)制,可以保護(hù)網(wǎng)站免受協(xié)議降級(jí)攻擊和cookie劫持�����。服務(wù)器使用名為Strict-Transport-Security的響應(yīng)頭字段將HSTS策略傳送到瀏覽器��。Spring Security默認(rèn)發(fā)送此標(biāo)頭��,以避免在開始時(shí)出現(xiàn)不必要的HTTP躍點(diǎn)��,點(diǎn)擊這里一分鐘開啟Tomcat https支持����。
2.使用Snyk檢查你的依賴關(guān)系
你很可能不知道應(yīng)用程序使用了多少直接依賴項(xiàng),這通常是正確的�,盡管依賴性構(gòu)成了整個(gè)應(yīng)用程序的大部分。攻擊者越來越多地針對(duì)開源依賴項(xiàng)���,因?yàn)樗鼈兊闹赜脼閻阂夂诳吞峁┝嗽S多受害者����,確保應(yīng)用程序的整個(gè)依賴關(guān)系樹中沒有已知的漏洞非常重要�。
Snyk測(cè)試你的應(yīng)用程序構(gòu)建包���,標(biāo)記那些已知漏洞的依賴項(xiàng)。它在儀表板在應(yīng)用程序中使用的軟件包中存在的漏洞列表��。
此外�����,它還將建議升級(jí)的版本或提供補(bǔ)丁�,并提供針對(duì)源代碼存儲(chǔ)庫的拉取請(qǐng)求來修復(fù)您的安全問題��。Snyk還確保在你的存儲(chǔ)庫上提交的任何拉取請(qǐng)求(通過webhooks)時(shí)都是通過自動(dòng)測(cè)試的����,以確保它們不會(huì)引入新的已知漏洞。
每天都會(huì)在現(xiàn)有項(xiàng)目和庫中發(fā)現(xiàn)新的漏洞�����,因此監(jiān)控和保護(hù)生產(chǎn)部署也很重要����。Snyk拍攝快照并監(jiān)控你的部署,以便在發(fā)現(xiàn)新漏洞時(shí)�,你可以通過JIRA�����,slack或電子郵件自動(dòng)收到通知�����,并創(chuàng)建拉取請(qǐng)求以提供新漏洞的升級(jí)和補(bǔ)丁��。
Snyk可通過Web UI和CLI獲得�,因此您可以輕松地將其與CI環(huán)境集成�,并將其配置為在存在嚴(yán)重性超出設(shè)定閾值的漏洞時(shí)中斷構(gòu)建。
你可以免費(fèi)使用Snyk進(jìn)行開源項(xiàng)目或使用有限數(shù)量的私有項(xiàng)目��。
3.升級(jí)到最新版本
定期升級(jí)應(yīng)用程序中的依賴項(xiàng)有多種原因�。安全性是讓您有升級(jí)動(dòng)力的最重要原因之一。該start.spring.io起始頁面采用了最新的春季版本的軟件包���,以及依賴關(guān)系��,在可能的情況��。
基礎(chǔ)架構(gòu)升級(jí)通常不如依賴項(xiàng)升級(jí)具有破壞性���,因?yàn)閹熳髡邔?duì)向后兼容性和版本之間的行為更改的敏感性各不相同�。話雖如此�,當(dāng)你在配置中發(fā)現(xiàn)安全漏洞時(shí),您有三種選擇:升級(jí)���,修補(bǔ)程序或忽略�。
在對(duì)應(yīng)用程序進(jìn)行必要的更改以使用較新版本之后���,就應(yīng)用程序的整體運(yùn)行狀況而言�����,升級(jí)是最安全的。
4.啟用CSRF保護(hù)
跨站點(diǎn)請(qǐng)求偽造(Cross-Site Request Forgery )是一種攻擊�,強(qiáng)制用戶在他們當(dāng)前登錄的應(yīng)用程序中執(zhí)行不需要的操作。如果用戶是普通用戶��,一個(gè)成功攻擊可能涉及請(qǐng)求的狀態(tài)更改���,如轉(zhuǎn)移資金或更改其電子郵件地址�����,如果用戶具有提升管理員的權(quán)限����,則CSRF攻擊可能會(huì)危及整個(gè)應(yīng)用程序。
Spring Security具有出色的CSRF支持���,如果您正在使用Spring MVC的標(biāo)簽或Thymeleaf @EnableWebSecurity���,默認(rèn)情況下處于啟用狀態(tài),CSRF令牌將自動(dòng)添加為隱藏輸入字段��。
如果你使用的是像Angular或React這樣的JavaScript框架����,則需要配置CookieCsrfTokenRepository以便JavaScript可以讀取cookie。
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.csrf()
.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
}
}
如果你正在使用Angular����,這就是你需要做的。如果您使用的是React���,則需要讀取XSRF-TOKENcookie并將其作為X-XSRF-TOKEN標(biāo)題發(fā)回��。
當(dāng)請(qǐng)求通過HTTPS發(fā)生時(shí)����,Spring Security會(huì)自動(dòng)加入一個(gè)secure標(biāo)識(shí)到XSRF-TOKENcookie 。Spring Security對(duì)于CSRF cookie不使用SameSite=strict 的標(biāo)志��,但它在使用Spring Session或WebFlux會(huì)話處理時(shí)會(huì)使用����,這對(duì)會(huì)話cookie有意義,因?yàn)樗兄谧R(shí)別用戶����,但是沒有為CSRF cookie提供太多價(jià)值,因?yàn)镃SRF令牌也需要在請(qǐng)求中�����。點(diǎn)擊這里了解CSRF更多詳情��。
5.使用內(nèi)容安全策略防止XSS攻擊
內(nèi)容安全策略(CSP)是一個(gè)增加的安全層���,可幫助緩解XSS(跨站點(diǎn)腳本)和數(shù)據(jù)注入攻擊。要啟用它�����,你需要配置應(yīng)用程序以返回Content-Security-Policy標(biāo)題。你還可以在HTML頁面中使用標(biāo)記��。
Spring安全性默認(rèn)提供了許多安全標(biāo)頭:
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000 ; includeSubDomains
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block
Spring Security * 默認(rèn)情況下不添加 CSP���。你可以使用以下配置在Spring Boot應(yīng)用程序中啟用CSP標(biāo)頭��。
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.headers()
.contentSecurityPolicy("script-src "self" https://trustedscripts.example.com; object-src https://trustedplugins.example.com; report-uri /csp-report-endpoint/");
}
}
CSP是防止XSS攻擊的良好防御����,請(qǐng)記住�,打開CSP能讓CDN訪問許多非常古老且易受攻擊的JavaScript庫,這意味著使用CDN不會(huì)為安全性增加太多價(jià)值����。點(diǎn)擊這里了解XSS更多詳情。
你可以在securityheaders.com測(cè)試你的CSP標(biāo)頭是否有用�����。
6.使用OpenID Connect進(jìn)行身份驗(yàn)證
OAuth 2.0是行業(yè)標(biāo)準(zhǔn)的授權(quán)協(xié)議��。它使用scope來定義授權(quán)用戶可以執(zhí)行的操作的權(quán)限���。但是���,OAuth 2.0不是身份驗(yàn)證協(xié)議�,并且不提供有關(guān)經(jīng)過身份驗(yàn)證的用戶的信息���。
OpenID Connect(OIDC)是一個(gè)OAuth 2.0擴(kuò)展���,提供用戶信息,除了訪問令牌之外����,它還添加了ID令牌,以及/userinfo可以從中獲取其他信息的端點(diǎn)��,它還添加了發(fā)現(xiàn)功能和動(dòng)態(tài)客戶端注冊(cè)的端點(diǎn)����。
如果使用OIDC進(jìn)行身份驗(yàn)證,則無需擔(dān)心如何存儲(chǔ)用戶���、密碼或?qū)τ脩暨M(jìn)行身份驗(yàn)證。相反�,你可以使用身份提供商(IdP)為你執(zhí)行此操作,你的IdP甚至可能提供多因素身份驗(yàn)證(MFA)等安全附加組件��。
要了解如何在Spring Boot應(yīng)用程序中使用OIDC,請(qǐng)參閱Spring Security 5.0和OIDC入門���。要總結(jié)如何使用它�����,你需要向項(xiàng)目添加一些依賴項(xiàng)���,然后在application.yml文件中配置一些屬性。
spring:
security:
oauth2:
client:
registration:
okta:
client-id: {clientId}
client-secret: {clientSecret}
scope: openid email profile
provider:
okta:
issuer-uri: https://{yourOktaDomain}/oauth2/default
注意:issuer-uri僅在Spring Security 5.1中支持使用�,Spring Security 5.1正在積極開發(fā)中并計(jì)劃于2018年9月發(fā)布。
你可以使用像Keycloak這樣的開源系統(tǒng)來設(shè)置自己的OIDC服務(wù)器����。如果你不想在生產(chǎn)中維護(hù)自己的服務(wù)器,可以使用Okta的Developer API�。
7.管理密碼?使用密碼哈希���!
以純文本格式存儲(chǔ)密碼是最糟糕的事情之一��。幸運(yùn)的是����,Spring Security默認(rèn)情況下不允許使用純文本密碼。它還附帶了一個(gè)加密模塊�,可用于對(duì)稱加密,生成密鑰和密碼散列(也就是密碼編碼)����。
PasswordEncoder 是Spring Security中密碼哈希的主要接口,如下所示:
public interface PasswordEncoder {
String encode(String rawPassword);
boolean matches(String rawPassword, String encodedPassword);
}
Spring Security提供了幾種實(shí)現(xiàn)���,最受歡迎的是BCryptPasswordEncoder和Pbkdf2PasswordEncoder����。
對(duì)于一般的密碼管理�����,我們建議使用SCrypt或Argon2, SCrypt現(xiàn)在已經(jīng)過時(shí)了(已經(jīng)有一段時(shí)間了)���,并且有一個(gè)額外的復(fù)雜因素�,BCrypt沒有這個(gè)因素�����,這使得暴力破解變得加倍地困難�����。它由著名的密碼學(xué)家/安全人員(Colin Percival)編寫�����,并且在幾乎所有編程語言中都有很好的庫�,SCrypt也得到Latacora的認(rèn)可。
Spring Security 5.1(即2018年9月下旬)將附帶UserDetailsPasswordService API����,允許您升級(jí)密碼存儲(chǔ)。
8.安全地存儲(chǔ)秘密
應(yīng)謹(jǐn)慎處理敏感信息��,如密碼��,訪問令牌等����,你不能以純文本形式傳遞,或者如果將它們保存在本地存儲(chǔ)中�����。由于(GitHub)的歷史已經(jīng)一次又一次證明�,開發(fā)人員并沒有仔細(xì)考慮如何存儲(chǔ)他們的秘密��。
一個(gè)好的做法是將保密信息存儲(chǔ)在保管庫中����,該保管庫可用于存儲(chǔ)�����,提供對(duì)應(yīng)用程序可能使用的服務(wù)的訪問權(quán)限�,甚至生成憑據(jù)。HashiCorp的Vault使得存儲(chǔ)機(jī)密變得很輕松�,并提供了許多額外的服務(wù)。
如果您對(duì)此感興趣��,請(qǐng)務(wù)必花一些時(shí)間查看Spring Vault���,它為HashiCorp Vault添加抽象����,為客戶提供基于Spring注釋的訪問���,允許他們?cè)L問����、存儲(chǔ)和撤銷機(jī)密而不會(huì)迷失在基礎(chǔ)架構(gòu)中。以下代碼段顯示了使用注釋從Spring Vault中提取密碼的方便程度��。
@Value("${password}")
String password;
9.使用OWASP的ZAP測(cè)試您的應(yīng)用程序
OWASP ZAP安全工具是針對(duì)在運(yùn)行活動(dòng)的應(yīng)用程序進(jìn)行滲透測(cè)試的代理���。它是一個(gè)受歡迎的(超過4k星)免費(fèi)的開源項(xiàng)目,托管在GitHub上����。
OWASP ZAP用于查找漏洞的兩種方法是Spider和Active Scan。
Spider工具以URL種子開頭���,它將訪問并解析每個(gè)響應(yīng)�����,識(shí)別超鏈接并將它們添加到列表中�。然后��,它將訪問這些新找到的URL并以遞歸方式繼續(xù)��,為您的Web應(yīng)用程序創(chuàng)建URL映射��。
Active Scan工具將根據(jù)潛在漏洞列表自動(dòng)測(cè)試你選擇的目標(biāo)����。它提供了一個(gè)報(bào)告�,顯示W(wǎng)eb應(yīng)用程序可被利用的位置以及有關(guān)漏洞的詳細(xì)信息�。
10.讓你的安全團(tuán)隊(duì)進(jìn)行代碼審查
代碼評(píng)審對(duì)任何高性能軟件開發(fā)團(tuán)隊(duì)都至關(guān)重要。在Okta�����,我們所有的生產(chǎn)代碼和官方開源項(xiàng)目都需要通過我們的專家安全團(tuán)隊(duì)進(jìn)行分析����,你的公司可能沒有安全專家,但如果你正在處理敏感數(shù)據(jù)���,也許你應(yīng)該這樣做����!
更多干貨推薦
1.史上最強(qiáng) Java 中高級(jí)面試題整理
2.史上最強(qiáng) Spring Boot & Cloud 教程整理
3.史上最強(qiáng)架構(gòu)設(shè)計(jì)分布式技術(shù)干貨整理
更多請(qǐng)掃描下方的二維碼關(guān)注我們的微信公眾號(hào)��,干貨每日推送��!
