10 種保護 Spring Boot 應用的絕佳方法

来源:https://www.cnblogs.com/javastack/archive/2018/09/13/9638563.html
-Advertisement-
Play Games

原文:developer.okta.com/blog/2018/07/30/10 ways to secure spring boot 譯文:www.jdon.com/49653 Spring Boot大大簡化了Spring應用程式的開發。它的自動配置和啟動依賴大大減少了開始一個應用所需的代碼和配置 ...


原文:developer.okta.com/blog/2018/07/30/10-ways-to-secure-spring-boot
譯文:www.jdon.com/49653

Spring Boot大大簡化了Spring應用程式的開發。它的自動配置和啟動依賴大大減少了開始一個應用所需的代碼和配置量,如果你已經習慣了Spring和大量XML配置,Spring Boot無疑是一股清新的空氣。

Spring Boot於2014年首次發佈,自那以後發生了很多變化。安全性問題與代碼質量和測試非常相似,已經日漸成為開發人員關心的問題,如果你是開發人員並且不關心安全性,那麼也許認為一切理所當然。本文目的是介紹如何創建更安全的Spring Boot應用程式。

馬特雷布爾與Simon Maple合作完成了這篇文章,他們都是為安全公司工作,熱愛Java,並希望幫助開發人員創建更安全的應用程式。我們認為撰寫這篇文章將是回饋社區的有趣方式。

1.在生產中使用HTTPS

傳輸層安全性(TLS)是HTTPS的官方名稱,你可能聽說過它稱為SSL(安全套接字層),SSL是已棄用的名稱,TLS是一種加密協議,可通過電腦網路提供安全通信。其主要目標是確保電腦應用程式之間的隱私和數據完整性。

過去,TLS / SSL證書很昂貴,而且HTTPS被認為很慢,現在機器變得更快,已經解決了性能問題,Let's Encrypt提供免費的TLS證書,這兩項發展改變了游戲,並使TLS成為主流。

截至2018年7月24日,Google Chrome 將HTTP網站標記為“不安全”。雖然這在網路社區引起了相當多的爭議。知名安全研究員特洛伊亨特創建了一個為什麼不適用HTTPS?跟蹤不使用HTTPS的大型網站的網站。

Let’s Encrypt TLS證書可以自動化生成和更新,由於他們是免費的,所以沒有理由不去做!Spring Boot Secured By Let’s Encrypt的加密是如何做到這一點的有用指南。

要在Spring Boot應用程式中強制使用HTTPS,您可以擴展WebSecurityConfigurerAdapter並要求安全連接。

@Configuration
public class WebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.requiresChannel().requiresSecure();
    }
}

另一個重要的事情是使用HTTP嚴格傳輸安全性(HSTS)。HSTS是一種Web安全策略機制,可以保護網站免受協議降級攻擊和cookie劫持。伺服器使用名為Strict-Transport-Security的響應頭欄位將HSTS策略傳送到瀏覽器。Spring Security預設發送此標頭,以避免在開始時出現不必要的HTTP躍點,點擊這裡一分鐘開啟Tomcat https支持。

2.使用Snyk檢查你的依賴關係

你很可能不知道應用程式使用了多少直接依賴項,這通常是正確的,儘管依賴性構成了整個應用程式的大部分。攻擊者越來越多地針對開源依賴項,因為它們的重用為惡意黑客提供了許多受害者,確保應用程式的整個依賴關係樹中沒有已知的漏洞非常重要。

Snyk測試你的應用程式構建包,標記那些已知漏洞的依賴項。它在儀錶板在應用程式中使用的軟體包中存在的漏洞列表。

此外,它還將建議升級的版本或提供補丁,並提供針對源代碼存儲庫的拉取請求來修複您的安全問題。Snyk還確保在你的存儲庫上提交的任何拉取請求(通過webhooks)時都是通過自動測試的,以確保它們不會引入新的已知漏洞。

每天都會在現有項目和庫中發現新的漏洞,因此監控和保護生產部署也很重要。Snyk拍攝快照並監控你的部署,以便在發現新漏洞時,你可以通過JIRA,slack或電子郵件自動收到通知,並創建拉取請求以提供新漏洞的升級和補丁。

Snyk可通過Web UI和CLI獲得,因此您可以輕鬆地將其與CI環境集成,並將其配置為在存在嚴重性超出設定閾值的漏洞時中斷構建。

你可以免費使用Snyk進行開源項目或使用有限數量的私有項目。

3.升級到最新版本

定期升級應用程式中的依賴項有多種原因。安全性是讓您有升級動力的最重要原因之一。該start.spring.io起始頁面採用了最新的春季版本的軟體包,以及依賴關係,在可能的情況。

基礎架構升級通常不如依賴項升級具有破壞性,因為庫作者對向後相容性和版本之間的行為更改的敏感性各不相同。話雖如此,當你在配置中發現安全漏洞時,您有三種選擇:升級,修補程式或忽略。

在對應用程式進行必要的更改以使用較新版本之後,就應用程式的整體運行狀況而言,升級是最安全的。

4.啟用CSRF保護

跨站點請求偽造(Cross-Site Request Forgery )是一種攻擊,強制用戶在他們當前登錄的應用程式中執行不需要的操作。如果用戶是普通用戶,一個成功攻擊可能涉及請求的狀態更改,如轉移資金或更改其電子郵件地址,如果用戶具有提升管理員的許可權,則CSRF攻擊可能會危及整個應用程式。

Spring Security具有出色的CSRF支持,如果您正在使用Spring MVC的

如果你使用的是像Angular或React這樣的JavaScript框架,則需要配置CookieCsrfTokenRepository以便JavaScript可以讀取cookie。

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf()
                .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
    }
}

如果你正在使用Angular,這就是你需要做的。如果您使用的是React,則需要讀取XSRF-TOKENcookie並將其作為X-XSRF-TOKEN標題發回。

當請求通過HTTPS發生時,Spring Security會自動加入一個secure標識到XSRF-TOKENcookie 。Spring Security對於CSRF cookie不使用SameSite=strict 的標誌,但它在使用Spring Session或WebFlux會話處理時會使用,這對會話cookie有意義,因為它有助於識別用戶,但是沒有為CSRF cookie提供太多價值,因為CSRF令牌也需要在請求中。點擊這裡瞭解CSRF更多詳情。

5.使用內容安全策略防止XSS攻擊

內容安全策略(CSP)是一個增加的安全層,可幫助緩解XSS(跨站點腳本)和數據註入攻擊。要啟用它,你需要配置應用程式以返回Content-Security-Policy標題。你還可以在HTML頁面中使用標記。

Spring安全性預設提供了許多安全標頭:

Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000 ; includeSubDomains
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block

Spring Security * 預設情況下不添加 CSP。你可以使用以下配置在Spring Boot應用程式中啟用CSP標頭。

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.headers()
            .contentSecurityPolicy("script-src 'self' https://trustedscripts.example.com; object-src https://trustedplugins.example.com; report-uri /csp-report-endpoint/");
    }
}

CSP是防止XSS攻擊的良好防禦,請記住,打開CSP能讓CDN訪問許多非常古老且易受攻擊的JavaScript庫,這意味著使用CDN不會為安全性增加太多價值。點擊這裡瞭解XSS更多詳情。

你可以在securityheaders.com測試你的CSP標頭是否有用。

6.使用OpenID Connect進行身份驗證

OAuth 2.0是行業標準的授權協議。它使用scope來定義授權用戶可以執行的操作的許可權。但是,OAuth 2.0不是身份驗證協議,並且不提供有關經過身份驗證的用戶的信息。

OpenID Connect(OIDC)是一個OAuth 2.0擴展,提供用戶信息,除了訪問令牌之外,它還添加了ID令牌,以及/userinfo可以從中獲取其他信息的端點,它還添加了發現功能和動態客戶端註冊的端點。

如果使用OIDC進行身份驗證,則無需擔心如何存儲用戶、密碼或對用戶進行身份驗證。相反,你可以使用身份提供商(IdP)為你執行此操作,你的IdP甚至可能提供多因素身份驗證(MFA)等安全附加組件。

要瞭解如何在Spring Boot應用程式中使用OIDC,請參閱Spring Security 5.0和OIDC入門。要總結如何使用它,你需要向項目添加一些依賴項,然後在application.yml文件中配置一些屬性。

spring:
  security:
    oauth2:
      client:
        registration:
          okta:
            client-id: {clientId}
            client-secret: {clientSecret}
            scope: openid email profile
        provider:
          okta:
            issuer-uri: https://{yourOktaDomain}/oauth2/default

註意:issuer-uri僅在Spring Security 5.1中支持使用,Spring Security 5.1正在積極開發中並計劃於2018年9月發佈。

你可以使用像Keycloak這樣的開源系統來設置自己的OIDC伺服器。如果你不想在生產中維護自己的伺服器,可以使用Okta的Developer API。

7.管理密碼?使用密碼哈希!

以純文本格式存儲密碼是最糟糕的事情之一。幸運的是,Spring Security預設情況下不允許使用純文本密碼。它還附帶了一個加密模塊,可用於對稱加密,生成密鑰和密碼散列(也就是密碼編碼)。

PasswordEncoder 是Spring Security中密碼哈希的主要介面,如下所示:

public interface PasswordEncoder {
    String encode(String rawPassword);
    boolean matches(String rawPassword, String encodedPassword);
}

Spring Security提供了幾種實現,最受歡迎的是BCryptPasswordEncoder和Pbkdf2PasswordEncoder。

對於一般的密碼管理,我們建議使用SCrypt或Argon2, SCrypt現在已經過時了(已經有一段時間了),並且有一個額外的複雜因素,BCrypt沒有這個因素,這使得暴力破解變得加倍地困難。它由著名的密碼學家/安全人員(Colin Percival)編寫,並且在幾乎所有編程語言中都有很好的庫,SCrypt也得到Latacora的認可。

Spring Security 5.1(即2018年9月下旬)將附帶UserDetailsPasswordService API,允許您升級密碼存儲。

8.安全地存儲秘密

應謹慎處理敏感信息,如密碼,訪問令牌等,你不能以純文本形式傳遞,或者如果將它們保存在本地存儲中。由於(GitHub)的歷史已經一次又一次證明,開發人員並沒有仔細考慮如何存儲他們的秘密。

一個好的做法是將保密信息存儲在保管庫中,該保管庫可用於存儲,提供對應用程式可能使用的服務的訪問許可權,甚至生成憑據。HashiCorp的Vault使得存儲機密變得很輕鬆,並提供了許多額外的服務。

如果您對此感興趣,請務必花一些時間查看Spring Vault,它為HashiCorp Vault添加抽象,為客戶提供基於Spring註釋的訪問,允許他們訪問、存儲和撤銷機密而不會迷失在基礎架構中。以下代碼段顯示了使用註釋從Spring Vault中提取密碼的方便程度。

@Value("${password}")
String password;

9.使用OWASP的ZAP測試您的應用程式

OWASP ZAP安全工具是針對在運行活動的應用程式進行滲透測試的代理。它是一個受歡迎的(超過4k星)免費的開源項目,托管在GitHub上。

OWASP ZAP用於查找漏洞的兩種方法是Spider和Active Scan。

Spider工具以URL種子開頭,它將訪問並解析每個響應,識別超鏈接並將它們添加到列表中。然後,它將訪問這些新找到的URL並以遞歸方式繼續,為您的Web應用程式創建URL映射。

Active Scan工具將根據潛在漏洞列表自動測試你選擇的目標。它提供了一個報告,顯示Web應用程式可被利用的位置以及有關漏洞的詳細信息。

10.讓你的安全團隊進行代碼審查

代碼評審對任何高性能軟體開發團隊都至關重要。在Okta,我們所有的生產代碼和官方開源項目都需要通過我們的專家安全團隊進行分析,你的公司可能沒有安全專家,但如果你正在處理敏感數據,也許你應該這樣做!


更多乾貨推薦

1.史上最強 Java 中高級面試題整理

2.史上最強 Spring Boot & Cloud 教程整理

3.史上最強架構設計分散式技術乾貨整理

更多請掃描下方的二維碼關註我們的微信公眾號,乾貨每日推送!


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 背景 現在的前端項目越來越複雜,在不同的客戶端會產生各種在開發人員機器上不會出現的問題。當用戶報告一個問題給開發人員的時候,開發人員無法直接定位問題。在此前,聽過一次鵝廠的前端人員,他們對QQ裡面的網頁監控的一個講座,深有感觸。但是鵝廠是自己開發了一系統,從開發到運維到錯誤分析,是一整套的體系。對於 ...
  • 以下代碼可放在一個js文件中,以便通用: //獲取指定表單中指定標簽對象 function getElements(formId, label) { var form = document.getElementById(formId);/* 獲取表單引用(對象) */ var elements = ...
  • 第一種:字元串拆分法 window.location.href 或者 location.href 或者 window.location 獲得地址欄中的所有內容 decodeURI()可以解碼地址欄中的數據 恢復中文數據 window.search 獲得地址欄中問號及問號之後的數據 第二種:正則匹配法 ...
  • 有一個需求要為document對象綁定click事件來是想隱藏提示框的交互功能,於是小白寫瞭如下代碼: 同事小銘看了看代碼說: “首先,你為document 綁定了click事件,但是onclick是DOM0級事件,也就是說這種方式綁定的時間相當於為元素綁定了一個時間方法, 所以如果團隊中的其他人再 ...
  • markdown簡介 什麼是Markdown?Markdown是一種輕量級的「標記語言」,通常為程式員群體所用,目前它已是全球最大的技術分享網站 GitHub 和技術問答網站 StackOverFlow 的御用書寫格式。 就是這十個不到的標記符號,卻能讓人優雅地沉浸式記錄,專註內容而不是糾結排版,達 ...
  • 一.JDK的下載和安裝 這裡提供32位和64位JDK的下載鏈接 百度網盤:https://pan.baidu.com/s/1xtiVOE2gPCvlGCTy0vfBaw 密碼:c5m4 官網:https://www.oracle.com/technetwork/java/javase/downloa ...
  • 做Qt開發的會知道QLineEdit是預設沒有clicked事件的,但是Qt有很好的一套信號/槽機制,而且Qt是基於C++面向對象的思想來設計的,那麼我們就很容易通過自己定義一些類,重寫QLineEdit的一些方法去實現沒有的方法,比如clicked事件.本人就以QLineEdit 添加clicke ...
  • 首先聲明,賭博一定不是什麼好事,也完全沒有意義,不要指望用彩票發財。之所以寫這個,其實是用來練手的,可以參考這個來預測一些其他的東西,意在拋磚引玉。 啰嗦完了,馬上開始,先上偽代碼 打開網址 讀取內容內容解析 根據源碼得到需爬取內容 1、開獎日期:2018年8月26日 2、紅球 <li class= ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...