摘要:截至年月日���,將網(wǎng)站標(biāo)記為不安全。管理密碼使用密碼哈希以純文本格式存儲密碼是最糟糕的事情之一�。是中密碼哈希的主要接口�,如下所示提供了幾種實現(xiàn)�,最受歡迎的是和。
Spring Boot大大簡化了Spring應(yīng)用程序的開發(fā)��。它的自動配置和啟動依賴大大減少了開始一個應(yīng)用所需的代碼和配置量�����,如果你已經(jīng)習(xí)慣了Spring和大量XML配置���,Spring Boot無疑是一股清新的空氣�。
Spring Boot于2014年首次發(fā)布�����,自那以后發(fā)生了很多變化�。安全性問題與代碼質(zhì)量和測試非常相似�����,已經(jīng)日漸成為開發(fā)人員關(guān)心的問題����,如果你是開發(fā)人員并且不關(guān)心安全性,那么也許認(rèn)為一切理所當(dāng)然��。本文目的是介紹如何創(chuàng)建更安全的Spring Boot應(yīng)用程序����。
馬特雷布爾與Simon Maple合作完成了這篇文章�,他們都是為安全公司工作,熱愛Java����,并希望幫助開發(fā)人員創(chuàng)建更安全的應(yīng)用程序��。我們認(rèn)為撰寫這篇文章將是回饋社區(qū)的有趣方式。
1.在生產(chǎn)中使用HTTPS
傳輸層安全性(TLS)是HTTPS的官方名稱�����,你可能聽說過它稱為SSL(安全套接字層)�,SSL是已棄用的名稱,TLS是一種加密協(xié)議�����,可通過計算機網(wǎng)絡(luò)提供安全通信�����。其主要目標(biāo)是確保計算機應(yīng)用程序之間的隱私和數(shù)據(jù)完整性�。
過去����,TLS / SSL證書很昂貴,而且HTTPS被認(rèn)為很慢����,現(xiàn)在機器變得更快����,已經(jīng)解決了性能問題�,Let"s Encrypt提供免費的TLS證書,這兩項發(fā)展改變了游戲��,并使TLS成為主流���。
截至2018年7月24日�����,Google Chrome 將HTTP網(wǎng)站標(biāo)記為“不安全”。雖然這在網(wǎng)絡(luò)社區(qū)引起了相當(dāng)多的爭議。知名安全研究員特洛伊亨特創(chuàng)建了一個為什么不適用HTTPS�����?跟蹤不使用HTTPS的大型網(wǎng)站的網(wǎng)站�����。
Let’s Encrypt TLS證書可以自動化生成和更新���,由于他們是免費的�����,所以沒有理由不去做!Spring Boot Secured By Let’s Encrypt的加密是如何做到這一點的有用指南。
要在Spring Boot應(yīng)用程序中強制使用HTTPS�����,您可以擴展WebSecurityConfigurerAdapter并要求安全連接���。
@Configuration
public class WebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.requiresChannel().requiresSecure();
}
}
另一個重要的事情是使用HTTP嚴(yán)格傳輸安全性(HSTS)����。HSTS是一種Web安全策略機制,可以保護網(wǎng)站免受協(xié)議降級攻擊和cookie劫持�����。服務(wù)器使用名為Strict-Transport-Security的響應(yīng)頭字段將HSTS策略傳送到瀏覽器��。Spring Security默認(rèn)發(fā)送此標(biāo)頭�,以避免在開始時出現(xiàn)不必要的HTTP躍點���,點擊這里一分鐘開啟Tomcat https支持����。
2.使用Snyk檢查你的依賴關(guān)系
你很可能不知道應(yīng)用程序使用了多少直接依賴項,這通常是正確的,盡管依賴性構(gòu)成了整個應(yīng)用程序的大部分���。攻擊者越來越多地針對開源依賴項,因為它們的重用為惡意黑客提供了許多受害者,確保應(yīng)用程序的整個依賴關(guān)系樹中沒有已知的漏洞非常重要。
Snyk測試你的應(yīng)用程序構(gòu)建包����,標(biāo)記那些已知漏洞的依賴項�����。它在儀表板在應(yīng)用程序中使用的軟件包中存在的漏洞列表。
此外��,它還將建議升級的版本或提供補丁����,并提供針對源代碼存儲庫的拉取請求來修復(fù)您的安全問題。Snyk還確保在你的存儲庫上提交的任何拉取請求(通過webhooks)時都是通過自動測試的�,以確保它們不會引入新的已知漏洞���。
每天都會在現(xiàn)有項目和庫中發(fā)現(xiàn)新的漏洞,因此監(jiān)控和保護生產(chǎn)部署也很重要�。Snyk拍攝快照并監(jiān)控你的部署�����,以便在發(fā)現(xiàn)新漏洞時,你可以通過JIRA�,slack或電子郵件自動收到通知����,并創(chuàng)建拉取請求以提供新漏洞的升級和補丁����。
Snyk可通過Web UI和CLI獲得,因此您可以輕松地將其與CI環(huán)境集成���,并將其配置為在存在嚴(yán)重性超出設(shè)定閾值的漏洞時中斷構(gòu)建。
你可以免費使用Snyk進行開源項目或使用有限數(shù)量的私有項目����。
3.升級到最新版本
定期升級應(yīng)用程序中的依賴項有多種原因���。安全性是讓您有升級動力的最重要原因之一�����。該start.spring.io起始頁面采用了最新的春季版本的軟件包,以及依賴關(guān)系���,在可能的情況。
基礎(chǔ)架構(gòu)升級通常不如依賴項升級具有破壞性�����,因為庫作者對向后兼容性和版本之間的行為更改的敏感性各不相同�。話雖如此�,當(dāng)你在配置中發(fā)現(xiàn)安全漏洞時,您有三種選擇:升級�����,修補程序或忽略�。
在對應(yīng)用程序進行必要的更改以使用較新版本之后����,就應(yīng)用程序的整體運行狀況而言����,升級是最安全的。
4.啟用CSRF保護
跨站點請求偽造(Cross-Site Request Forgery )是一種攻擊�,強制用戶在他們當(dāng)前登錄的應(yīng)用程序中執(zhí)行不需要的操作����。如果用戶是普通用戶�,一個成功攻擊可能涉及請求的狀態(tài)更改,如轉(zhuǎn)移資金或更改其電子郵件地址�����,如果用戶具有提升管理員的權(quán)限�����,則CSRF攻擊可能會危及整個應(yīng)用程序����。
Spring Security具有出色的CSRF支持�����,如果您正在使用Spring MVC的標(biāo)簽或Thymeleaf @EnableWebSecurity,默認(rèn)情況下處于啟用狀態(tài),CSRF令牌將自動添加為隱藏輸入字段�。
如果你使用的是像Angular或React這樣的JavaScript框架��,則需要配置CookieCsrfTokenRepository以便JavaScript可以讀取cookie。
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.csrf()
.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
}
}
如果你正在使用Angular,這就是你需要做的�。如果您使用的是React��,則需要讀取XSRF-TOKENcookie并將其作為X-XSRF-TOKEN標(biāo)題發(fā)回。
當(dāng)請求通過HTTPS發(fā)生時,Spring Security會自動加入一個secure標(biāo)識到XSRF-TOKENcookie �。Spring Security對于CSRF cookie不使用SameSite=strict 的標(biāo)志���,但它在使用Spring Session或WebFlux會話處理時會使用�����,這對會話cookie有意義,因為它有助于識別用戶,但是沒有為CSRF cookie提供太多價值����,因為CSRF令牌也需要在請求中��。點擊這里了解CSRF更多詳情。
5.使用內(nèi)容安全策略防止XSS攻擊
內(nèi)容安全策略(CSP)是一個增加的安全層���,可幫助緩解XSS(跨站點腳本)和數(shù)據(jù)注入攻擊。要啟用它����,你需要配置應(yīng)用程序以返回Content-Security-Policy標(biāo)題����。你還可以在HTML頁面中使用標(biāo)記�。
Spring安全性默認(rèn)提供了許多安全標(biāo)頭:
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000 ; includeSubDomains
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block
Spring Security * 默認(rèn)情況下不添加 CSP。你可以使用以下配置在Spring Boot應(yīng)用程序中啟用CSP標(biāo)頭。
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.headers()
.contentSecurityPolicy("script-src "self" https://trustedscripts.example.com; object-src https://trustedplugins.example.com; report-uri /csp-report-endpoint/");
}
}
CSP是防止XSS攻擊的良好防御���,請記住,打開CSP能讓CDN訪問許多非常古老且易受攻擊的JavaScript庫,這意味著使用CDN不會為安全性增加太多價值。點擊這里了解XSS更多詳情�。
你可以在securityheaders.com測試你的CSP標(biāo)頭是否有用。
6.使用OpenID Connect進行身份驗證
OAuth 2.0是行業(yè)標(biāo)準(zhǔn)的授權(quán)協(xié)議�。它使用scope來定義授權(quán)用戶可以執(zhí)行的操作的權(quán)限�。但是�����,OAuth 2.0不是身份驗證協(xié)議���,并且不提供有關(guān)經(jīng)過身份驗證的用戶的信息��。
OpenID Connect(OIDC)是一個OAuth 2.0擴展,提供用戶信息�����,除了訪問令牌之外,它還添加了ID令牌����,以及/userinfo可以從中獲取其他信息的端點���,它還添加了發(fā)現(xiàn)功能和動態(tài)客戶端注冊的端點���。
如果使用OIDC進行身份驗證��,則無需擔(dān)心如何存儲用戶、密碼或?qū)τ脩暨M行身份驗證。相反���,你可以使用身份提供商(IdP)為你執(zhí)行此操作,你的IdP甚至可能提供多因素身份驗證(MFA)等安全附加組件。
要了解如何在Spring Boot應(yīng)用程序中使用OIDC,請參閱Spring Security 5.0和OIDC入門��。要總結(jié)如何使用它�,你需要向項目添加一些依賴項,然后在application.yml文件中配置一些屬性。
spring:
security:
oauth2:
client:
registration:
okta:
client-id: {clientId}
client-secret: {clientSecret}
scope: openid email profile
provider:
okta:
issuer-uri: https://{yourOktaDomain}/oauth2/default
注意:issuer-uri僅在Spring Security 5.1中支持使用��,Spring Security 5.1正在積極開發(fā)中并計劃于2018年9月發(fā)布��。
你可以使用像Keycloak這樣的開源系統(tǒng)來設(shè)置自己的OIDC服務(wù)器。如果你不想在生產(chǎn)中維護自己的服務(wù)器�,可以使用Okta的Developer API��。
7.管理密碼?使用密碼哈希��!
以純文本格式存儲密碼是最糟糕的事情之一�。幸運的是,Spring Security默認(rèn)情況下不允許使用純文本密碼�����。它還附帶了一個加密模塊�����,可用于對稱加密��,生成密鑰和密碼散列(也就是密碼編碼)。
PasswordEncoder 是Spring Security中密碼哈希的主要接口����,如下所示:
public interface PasswordEncoder {
String encode(String rawPassword);
boolean matches(String rawPassword, String encodedPassword);
}
Spring Security提供了幾種實現(xiàn)�����,最受歡迎的是BCryptPasswordEncoder和Pbkdf2PasswordEncoder。
對于一般的密碼管理����,我們建議使用SCrypt或Argon2, SCrypt現(xiàn)在已經(jīng)過時了(已經(jīng)有一段時間了)�����,并且有一個額外的復(fù)雜因素,BCrypt沒有這個因素���,這使得暴力破解變得加倍地困難���。它由著名的密碼學(xué)家/安全人員(Colin Percival)編寫��,并且在幾乎所有編程語言中都有很好的庫�����,SCrypt也得到Latacora的認(rèn)可。
Spring Security 5.1(即2018年9月下旬)將附帶UserDetailsPasswordService API,允許您升級密碼存儲�。
8.安全地存儲秘密
應(yīng)謹(jǐn)慎處理敏感信息����,如密碼�,訪問令牌等,你不能以純文本形式傳遞,或者如果將它們保存在本地存儲中����。由于(GitHub)的歷史已經(jīng)一次又一次證明����,開發(fā)人員并沒有仔細考慮如何存儲他們的秘密。
一個好的做法是將保密信息存儲在保管庫中���,該保管庫可用于存儲,提供對應(yīng)用程序可能使用的服務(wù)的訪問權(quán)限���,甚至生成憑據(jù)。HashiCorp的Vault使得存儲機密變得很輕松����,并提供了許多額外的服務(wù)�。
如果您對此感興趣�,請務(wù)必花一些時間查看Spring Vault,它為HashiCorp Vault添加抽象���,為客戶提供基于Spring注釋的訪問��,允許他們訪問�、存儲和撤銷機密而不會迷失在基礎(chǔ)架構(gòu)中���。以下代碼段顯示了使用注釋從Spring Vault中提取密碼的方便程度��。
@Value("${password}")
String password;
9.使用OWASP的ZAP測試您的應(yīng)用程序
OWASP ZAP安全工具是針對在運行活動的應(yīng)用程序進行滲透測試的代理����。它是一個受歡迎的(超過4k星)免費的開源項目����,托管在GitHub上。
OWASP ZAP用于查找漏洞的兩種方法是Spider和Active Scan。
Spider工具以URL種子開頭�,它將訪問并解析每個響應(yīng)�����,識別超鏈接并將它們添加到列表中。然后,它將訪問這些新找到的URL并以遞歸方式繼續(xù)����,為您的Web應(yīng)用程序創(chuàng)建URL映射�����。
Active Scan工具將根據(jù)潛在漏洞列表自動測試你選擇的目標(biāo)。它提供了一個報告,顯示W(wǎng)eb應(yīng)用程序可被利用的位置以及有關(guān)漏洞的詳細信息。
10.讓你的安全團隊進行代碼審查
代碼評審對任何高性能軟件開發(fā)團隊都至關(guān)重要�。在Okta��,我們所有的生產(chǎn)代碼和官方開源項目都需要通過我們的專家安全團隊進行分析,你的公司可能沒有安全專家,但如果你正在處理敏感數(shù)據(jù)�,也許你應(yīng)該這樣做���!
更多干貨推薦
1.史上最強 Java 中高級面試題整理
2.史上最強 Spring Boot & Cloud 教程整理
3.史上最強架構(gòu)設(shè)計分布式技術(shù)干貨整理
更多請掃描下方的二維碼關(guān)注我們的微信公眾號�����,干貨每日推送����!
