DWR高级主题之DWR安全机制

最新推荐文章于 2025-05-05 16:59:06 发布
原创 最新推荐文章于 2025-05-05 16:59:06 发布 · 2.9k 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#dwr #servlet #javascript #include #delete
#encoding
本文介绍了DWR框架中关于安全机制的主题,指出默认情况下所有授权类的方法都可远程调用,这可能存在安全隐患。为了增强安全性,可以使用<exclude>或<include>元素来指定允许或禁止远程调用的方法,确保敏感操作如divide()不被远程访问。
DWR高级主题之DWR安全机制
----------
很多其他Ajax工具对安全性考虑不够,让你直面安全威胁。DWR提供一些安全机制,你也许会发现它非常适合自己的需求。DWR使用多层安全保障方法,但是,至少有一个机制必须始终启用。

1.默认拒绝
无须做任何设置,DWR会自动采用"默认拒绝"方法。这意味着,在默认情况下,DWR不允许任何类被远程访问。回想一下希望远程访问的每个类,必须在配置文件中添加<create>元素。这个<create>元素还应该被嵌套在<allow>元素中。通过添加这种信息条目,可以告诉DWR,指定类的远程调用被授权了。但是,如果没有在这个配置文件中添加相应的信息条目,则远程调用会被禁止。

读者肯定会认识到,这种措施实际上还存在一个潜在的安全漏洞:在默认情况下,被授权类的所有方法都可以通过远程调用来访问。在通常情况下,这样做就可以了,因为我们平常的代码组织习惯是一个类始终包含可以远程调用的所有"安全"方法。其实,我们也可以这样设计,类中部分方法可以安全地远程调用,部分方法不允许远程调用。如例,我们不希望远程调用divide()方法。我们可以简单地添加一个<exclude>元素。现在,存在一个<exclude>元素和一个<create>元素的子元素<include>元素这两个元素是互斥的也就是说,可以使用<include>元素来指定能够远程调用的方法列表(没有列出来的方法都是不可以远程调用的),或者使用<exclude>元素来指定不允许远程调用的方法列表(没有列出来的任何方法都是可以访问的)

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE dwr PUBLIC   
    "-//GetAhead Limited//DTD Direct Web Remoting 3.0//EN" "http://getahead.org/dwr/dwr30.dtd"> 
<dwr>
    <allow>
        <create creator="new" javascript="MathDelegate">
            <param name="class" value="app.MathDelegate"/>
            <exclude method="divide"/>
        </create>
    </allow>
</dwr>
<include>和<exclude>元素都接收一个以逗号分隔的列表作为method的属性值,这样可以按照自己的需求指定任意多个方法。请注意,DWR从来不允许自己的内部类被远程访问,因此可以降低攻击者破坏DWR内部机制的概率,进一步增强应用程序的安全性。

2.J2EE安全性和DWR
如果执著地希望进一步加强web应用程序的安全性,可以采取其他措施把J2EE安全性和DWR集成到一起。借助于这种能力,可以指定只有特定的安全角色才能访问特定的远程类,或者特定角色可以访问某远程对象的特定方法。
2.1 保护DWRServlet
第一个需要注意的事情是,使用基于J2EE角色的安全机制,保证DWRServlet自身的安全性。为实现这一点,我们必须引入其他配置选项:多个dwr.xml文件。默认情况下,DWR会在web应用程序的WEB-INF目录中查找一个名为dwr.xml的文件,所以不必再实施任何其他修改。但是,如果希望在其他地方放置这个配置文件,需要向servlet添加一个init参数,类似于:
<init-param>
    <param-name>config</param-name>
    <param-value>configFiles/dwrConfig.xml</param-value>
</init-param>
现在,DWR会加载configFiles目录(相对于web应用程序的根目录)中的文件dwrConfig.xml
另一个方便的技巧是,你可以指定多个配置文件。为实现这一点,只需要添加多个init参数,参数名称的格式为configXXXX,其中XXXX可以是任何内容。每个init参数的名称必须是不同的,使用XXXX的目的仅仅是保证唯一性。例如:
<servlet>
    <servlet-name>dwr-invoker</servlet-name>
    <servlet-class>uk.ltd.getahead.dwr.DWRServlet</servlet-class>
    <init-param>
        <param-name>config1234</param-name>
        <param-value>configFiles/dwrConfig1234.xml</param-value>
    </init-param>
    <init-param>
        <param-name>config5678</param-name>
        <param-value>configFiles/dwrConfig5678.xml</param-value>
    </init-param>
</servlet>
DWR会加载所有的配置文件,并把这些配置文件合并为一个主配置(不需要自己做任何其他配置!)
如何把这些集成到安全性方面呢?你还需要做的事情是定义DWRServlet的多个实例,如例:
<servlet>
    <servlet-name>dwr-user-invoker</servlet-name>
    <servlet-class>uk.ltd.getahead.dwr.DWRServlet</servlet-class>
    <init-param>
        <param-name>config-user</param-name>
        <param-value>WEB-INF/dwr-user.xml</param-value>
    </init-param>
</servlet>
<servlet>
    <servlet-name>dwr-admin-invoker</servlet-name>
    <servlet-class>uk.ltd.getahead.dwr.DWRServlet</servlet-class>
    <init-param>
        <param-name>config-admin</param-name>
        <param-value>WEB-INF/dwr-admin.xml</param-value>
    </init-param>
</servlet>
<servlet-mapping>
    <servlet-name>dwr-admin-invoker</servlet-name>
    <url-pattern>/dwradmin/*</url-pattern>
</servlet-mapping>
<servlet-mapping>
    <servlet-name>dwr-user-invoker</servlet-name>
    <url-pattern>/dwruser/*</url-pattern>
</servlet-mapping>
目前实际上存在两类用户:一般用户与管理用户。每类用户拥有不同的配置文件,而且更重要的是,每类用户使有不同的URL映射。这样做很重要,原因是可以充分利用J2EE安全机制,以根据角色来保护sevlet。例如:
<security-constraint>
    <web-resource-collection>
        <web-resource-name>dwr-admin-collection</web-resource-name>
        <url-pattern>/dwradmin/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <role-name>admin</role-name>
    </auth-constraint>
</security-constraint>
<security-constraint>
    <web-resource-collection>
        <web-resource-name>dwr-user-collection</web-resource-name>
        <url-pattern>/dwruser/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <role-name>user</role-name>
    </auth-constraint>
</security-constraint>
现在,只有管理用户才能访问dwr-admin.xml文件所定义的类,并且通过/dwradmin/* URL模式进行访问。类似地,一般用户只能够访问dwr-user.xml文件中所定义的类,并且通过/dwruser/* URL模式进行访问。这样,借助于标准的容器管理安全机制,可以有效地保护允许远程访问的对象。
2.2 保护单独的方法
还可以保护指定的远程可访问类中单独的方法。只需要在web.xml文件以及DWR配置文件中定义相应的角色,同时在DWR配置文件中需要给希望保护的类的<create>元素添加一个<auth>元素。下面是范例代码:
<create creator="new" javascript="RemotableClass">
    <param name="class" value="com.myapp.RemotableClass"/>
    <auth method="delete" role="admin"/>
</create>
现在,我们声明RemotableClass类的delete()方法只能被管理用户所调用。请注意,所有其他方法都不会被相应地保护,因为这是DWR的默认行为。借助于这种细微的控制能力,可以更灵活地应用容器管理安全性,以及设计希望远程访问的类。



DWR小结
03-01
博文链接:https://huxiuliang.iteye.com/blog/234274
dwr-2.0.2
01-24
dwr-2.0.2最新WAR包
java dwr 漏洞_实战渗透-基于DWR框架下的漏洞探测
weixin_34878397的博客
02-26 5679
前言未经授权,禁止转载!0x01前段时间,在对某站群系统进行代码审计时,发现某处DWR-AJAX接口存在文件上传漏洞代码层:public String upload(InputStream is, String fileName) {String fileUploadPath = getFileUploadPath();String file = String.valueOf(fileUpload...
实战 -- 记一次src小组定向挖掘
qq_29437513的博客
01-03 2608
实战 - 记一次src小组定向挖掘
【web-攻击用户】(9.2)防止XSS攻击
08-27 684
【防止XSS攻击】确认输入、确认输出、消除危险的插入点
51dwr - 安全
阿甘兄
04-29 515
我们很谨慎的对待 DWR 的安全问题,并且认为有必要解释一下避免错误要做的事情。 首先 DWR 让你明确哪些是被远程调用的,是如何被远程调用。原则就是 DWR 必须调用那些你明确允许的代码。 dwr.xml 要求你为每一个远程类定义一个’create’项。你还可以通过指定 include 和 exclude 元素来更精确的控制远程调用 Bean 中可以被调用的方法。 除此之外如果你希望允许 DWR...
dwrdwr.xml文件存放问题 持续更新
shayu52242419870805的专栏
08-29 2570
初步使用dwr,对很多里面的东西不熟,在写demo的过程中,将dwr.xml文件放在了resource文件下面,导致打包的时候文件被部署到classes文件下面,这样dwr在默认情况下是读取不到的,在网上查询了一下,并看了一下dwr的加载源码,发现dwr默认是在Web容器的WEB-INF下面自动加载dwr.xml文件的,那么是否可以存放其他地方了,答案是当然的。下面是我在网上看到的一些详细的讲解,
DWR推送功能实现实例:前后端函数互调的无缝对接
最新发布
weixin_34618526的博客
05-05 859
DWR(Direct Web Remoting)是一个开源库,允许在浏览器端以JavaScript的形式直接调用服务器端的Java方法。它提供了一种简单的方式来实现Web应用程序的异步通信,简化了Ajax编程模型。通过DWR,开发人员可以轻松创建响应速度快、用户体验好的动态网页。推送技术允许服务器主动向客户端发送消息,这一过程通常不依赖于客户端的请求。DWR的推送功能是通过在服务端创建一个长连接来实现的。服务端将消息发送到这个长连接上,客户端监听这个连接并接收消息,从而实现服务器到客户端的信息推送。
掌握DWR实现高效Web界面开发实战指南
weixin_29867767的博客
09-09 1257
本文还有配套的精品资源,点击获取 简介:DWR(Direct Web Remoting)是一个Java库,实现客户端与服务器间的实时异步通信,增强Web应用的交互性和动态性。本教程详细介绍了DWR的核心特性,包括远程方法调用、自动更新、安全机制、易用性、调试工具。学习本教程,你将掌握DWR的安装配置、创建远程接口、使用JavaScript API进行AJAX调用、实施安全策...
06dwr - web.xml配置(多个 dwr.xml 配置和 J2EE 角色定义)
阿甘兄
04-28 471
一般来说只需要一个 dwr.xml 文件,并且会被设为默认位置 WEB-INF/dwr.xml。所以你不需要配置。有 3 个原因说明你为何需要指定不同位置的 dwr.xml 文件: 你想保持 dwr.xml 的文件请参照下面的例子 <param-value>WEB-INF/classes/com/yourco/dwr/dwr.xml</param-value> 你可...
java dwr 漏洞_DWR异常情况处理常见方法解析
weixin_42346710的博客
02-26 1274
在本次项目中,由于时间紧张直接使用DWR做Ajax请求!要求的是动态展示,那就需要使用DWR轮询请求,但是需要做异常情况下的一些处理!特别是DWR在遇到异常后,后台不报错,前台也只提示一个 Error !如果是轮询的话,那么就一直弹出 Error ,那谁收到了呀!对于DWR异常的处理,网上一大片都是这样说的,在DWR配置中增加一个转换器,将异常转换为一般异常,这样在前台就不是提示 Error,而是...
java sql注入包_SQL注入漏洞-Java
weixin_42160278的博客
02-24 284
这个是常见的漏洞了,相信大家都不会陌生,直接上解决该漏洞的代码package com.ifan.soft.filter;import java.io.IOException;import java.text.SimpleDateFormat;import java.util.Date;import javax.servlet.Filter;import javax.servlet.FilterCh...
未授权访问漏洞-java
Zxdwr520的博客
07-30 1841
该漏洞是无需登录操作直接进入登录成功后的页面,这种漏洞多数是已get方法来跳过登录到达相应的目的 第一种:使用登录的URL 比如:http://localhost:8080/LeakHandle/user/loginUser?userName=admin&password=123456 解决办法: (1)、get变post,禁止使用get方式,指定POST请求方式,并对参数判断 (2)、在JSP中不可使用GET /** * 登录---帆 * @param user ...
java dwr 漏洞_Java DWR内存泄漏问题解决方案
weixin_28685287的博客
02-26 747
机器跑了一晚上,发现有崩溃现象,由于页面内有动态绘图功能,我怀疑是绘图原因,但是今天上午有人提醒我才想到,是不是间隔调用时DWR产生了内存泄漏问题?网上查了一下貌似大家都在讨论这个问题,之前我也挺老手说过DWR有内存问题,可是没有遇到过。原来DWR在间隔调用这种情况下会有问题!按照大家的说法,修改engine.js配置文件来解决问题,目前我也修改了一下,修改方法如下:在dwr.engine._se...
DWR安全方面(网摘)
Ghosthuo的专栏
12-17 2184
安全我们很谨慎的对待DWR的安全问题,并且认为有必要解释一下避免错误要做的事情。 首先DWR让你明确哪些是被远程调用的,是如何被远程调用。原则就是DWR必须调用那些你明确允许的代码。 dwr.xml要求你为每一个远程类定义一个create项。你还可以通过指定include和exclude元素来更精确的控制远程调用Bean中可以被调用的方法。 除此之外如果你希望允许DWR在转换你的J
圣乔ERP系统 ResultSetConvertor SQL注入漏洞复现
0xSec
12-07 396
圣乔ERP系统 ResultSetConvertor.queryForMapWithDefaultValues.dwr 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
关于dwr的安全性问题
持续改进
07-04 1306
在一些网站中,我们虽然使用了AJAX,但是我们并不希望用户能够私自调用这些AJAX,因为有些AJAX调用会包含对数据的更新操作,即使是只读的操作,也不希望用户能在本地进行直接调用。 在 Michael Chen 的这篇文章中 [url]http://michael.nona.name/archives/142[/url] ,提及了ajax应用中的安全问题,并且给出了一个临时的解决方案。虽然我...
记录DWR所致的内存泄漏
洛北辰南的博客
12-20 812
前言 很幸运的从线上传回了即将宕机的服务器的堆转储文件 通过jdk自带工具jmap jmap -dump:live,format=b,file=X://filepath//heap.bin pid dump文件高达9G,还好7Z的压缩率很高,压缩到600M,发回给我进行分析。 初次打开这个文件就用了将近二十分钟,分配了8G内存。。 发现问题 显然,DWR这个类,是内存泄漏的关键问题,占用...
DWR安全问题
收集盒 Book box
12-15 6892
作者 -- Ends 昨天测试某系统没有发现比较严重的问题,从数据包中发现了dwr接口,尝试下XSS返回为text/plain。查看官方对DWR Security的说明(http://directwebremoting.org/dwr/security/index.html)也是说XSS、CSRF的。如果接口中包含上传功能,应该和webservice类似吧,还没有利用成功过。
JAVA 系统常用漏洞解决方案
weixin_34129145的博客
09-28 651
为什么80%的码农都做不了架构师?>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值