Java konsekwentnie dostaje zły rap, jeśli chodzi o bezpieczeństwo – ale biorąc pod uwagę, że połowa aplikacji korporacyjnych w ciągu ostatnich 15 lat została napisana w tym języku, jego wszechobecność (i powszechnie znane wektory ataków) może być bardziej winna niż same wrodzone słabości bezpieczeństwa Javy. Rask, Waratek), aby poprawić bezpieczeństwo aplikacji internetowych Java na poziomie maszyny wirtualnej Java (JVM), ale dla większości organizacji – wprowadzenie tradycyjnych zabezpieczeń dla aplikacji Java może pomóc w ochronie przed większością exploitów związanych z Javą.
Z powodu wszechobecności Javy, kompleksowe zarządzanie podatnościami w narzędziach i technologiach związanych z Javą jest kluczowe dla utrzymania silnego bezpieczeństwa – bez względu na to, czy używasz kompletnego potoku CI/CD, czy kilku wewnętrznych aplikacji internetowych przedsiębiorstwa. Poniżej znajduje się 10 największych luk w technologiach Java, w tym narzędzia i popularne aplikacje wspierające rozwój aplikacji opartych na Javie.
JUnit
Ten framework do testów jednostkowych jest standardowym elementem zestawu narzędzi większości programistów Java, umożliwiając szybkie i zautomatyzowane testowanie bazy kodu. Jednakże, pliki JUnit dołączane do innych aplikacji mogą zawierać luki w zabezpieczeniach. Na przykład, wersje Google Web Toolkit (GWT) sprzed 2.5.1 RC zawierają wiele luk XSS (cross-site scripting).
Jenkins
Jako najczęściej używany serwer ciągłej integracji (CI) na rynku, Jenkins ma odpowiednio dużą popularność wśród programistów Java. Niestety, popularność jako narzędzie ciągłej integracji oznacza zazwyczaj więcej luk i exploitów – w przypadku Jenkinsa istnieją liczne luki XSS, cross-site request forgery (CSRF) i denial-of-service (Dos).
Hibernate
Popularny framework ORM Hibernate jest powszechnie używany wśród programistów Javy do mapowania obiektów relacyjnych baz danych, takich jak tabele, na klasy Javy. Wersje 4.1.0 przed 4.2.1, 4.3.x przed 4.3.2 i 5.x przed 5.1.2 narzędzia open source zawierają lukę, która może pozwolić atakującym na ominięcie Java Security Manager (JSM).
Maven
Apache Maven jest szeroko stosowanym menedżerem budowania dla projektów Java, pozwalającym na centralne zarządzanie budową projektu, raportowaniem i dokumentacją. Luka w Apache Maven 3.0.4 pozwala zdalnym hakerom na podszywanie się pod serwery w ramach ataku man-in-the-middle.
Tomcat
Ten popularny serwer aplikacji internetowych Java jest od lat ulubionym narzędziem programistów do tworzenia serwletów i aplikacji JavaServer Pages. Mający już ponad dekadę Tomcat zgromadził stosunkowo imponującą liczbę luk w zabezpieczeniach, od luk XSS po luki CSRF – wiele z nich zostało wykorzystanych w środowisku naturalnym.
Java 7
Pomimo pojawienia się w zeszłym roku Javy 8, Java 7 jest nadal w powszechnym użyciu – chociaż oczekuje się, że do 2016 roku wersja 8 będzie wiodła prym. Oczywistym jest, że każda wersja Javy poniżej 7 powinna być natychmiast zaktualizowana – nawet wersja 7 wymaga znaczących poprawek dla swojej floty podatności.
Spring Framework
Spring jest frameworkiem aplikacji z własnym modelem-widok-kontrolerem dla Javy, pozwalającym na oddzielenie logiki wejściowej, biznesowej i UI. Jako projekt open source, Spring nie jest pozbawiony udokumentowanych luk.
JavaServer Faces
JavaServer Faces (JSF) jest frameworkiem prezentacji dla Javy, który ułatwia tworzenie elementów interfejsu użytkownika wielokrotnego użytku. Luka w Apache MyFaces Core 2.0.x przed 2.0.12 i 2.1.x przed 2.1.6 może dać zdalnym napastnikom możliwość odczytania dowolnych plików.
Eclipse IDE
Eclipse jest popularnym narzędziem desktopowym do tworzenia aplikacji internetowych w Javie i od lat służy jako preferowane zintegrowane środowisko programistyczne (IDE) programistów Javy. Niestety, niektóre wersje jego plików pomocy są podatne na exploity związane z XSS.
Vaadin
Vaadin jest popularnym frameworkiem Java do budowania współczesnych aplikacji webowych w Javie – myślimy o nowoczesnych, jednostronicowych aplikacjach webowych napędzanych przez Javę. Luka XSS w tym frameworku może pozwolić zdalnym napastnikom na wstrzyknięcie dowolnych skryptów do stron.
Usuwanie luk
Aby naprawić powyższe luki, należy zidentyfikować, które z tych technologii są używane w danym środowisku i odwiedzić stronę internetową odpowiedniego producenta/projektu w celu uzyskania informacji o aktualizacjach/łatach. UpGuard może znaleźć wszystkie te elementy automatycznie za pomocą kilku kliknięć myszką. Co więcej, nasze edytowalne zasady dotyczące luk w zabezpieczeniach Java mogą zostać rozszerzone o niestandardowe kontrole dodatkowych narzędzi Java. Wypróbuj go już dziś – jest bezpłatny.