Java are în mod constant o reputație proastă atunci când vine vorba de securitate – dar având în vedere că jumătate din aplicațiile de întreprindere din ultimii 15 ani au fost scrise cu acest limbaj, răspândirea sa (și vectorii de atac cunoscuți în mod obișnuit) pot fi mai mult de vină decât slăbiciunile de securitate inerente ale Java. Acestea fiind spuse, sunt în curs de dezvoltare noi abordări (de exemplu, Rask, Waratek) pentru a îmbunătăți securitatea aplicațiilor web Java la nivelul Java Virtual Machine (JVM), dar pentru majoritatea organizațiilor-instituirea unor apărări de securitate tradiționale pentru aplicațiile Java poate ajuta la protejarea împotriva majorității exploatărilor legate de Java.
Din cauza omniprezenței Java, gestionarea cuprinzătoare a vulnerabilității instrumentelor și tehnologiilor legate de Java este crucială pentru menținerea unei securități puternice – fie că rulați o conductă CI/CD completă sau câteva aplicații web interne ale întreprinderii. În cele ce urmează sunt prezentate cele mai importante 10 vulnerabilități ale tehnologiei Java, pentru a include instrumente și aplicații populare pentru susținerea dezvoltării de aplicații bazate pe Java.
JUnit
Acest cadru de testare a unităților este un element standard în seturile de instrumente ale majorității dezvoltatorilor Java, permițând testarea rapidă și automată a bazei de cod. Cu toate acestea, fișierele JUnit care vin cu alte aplicații pot adăposti vulnerabilități. De exemplu, versiunile Google Web Toolkit (GWT) înainte de 2.5.1 RC conțin mai multe vulnerabilități de scripting cross-site (XSS).
Jenkins
Ca cel mai utilizat server de integrare continuă (CI) de pe piață, Jenkins are un număr mare de adepți în rândul dezvoltatorilor Java, în consecință. Din nefericire, popularitatea ca instrument de integrare continuă înseamnă, de obicei, mai multe vulnerabilități și exploatări – iar în cazul lui Jenkins, există mai multe vulnerabilități XSS, cross-site request forgery (CSRF) și denial-of-service (Dos).
Hibernate
Popularul cadru ORM Hibernate este utilizat în mod obișnuit în rândul dezvoltatorilor Java pentru maparea obiectelor bazelor de date relaționale, cum ar fi tabelele, în clase Java. Versiunile 4.1.0 înainte de 4.2.1, 4.3.x înainte de 4.3.2 și 5.x înainte de 5.1.2 ale instrumentului open source conțin o vulnerabilitate care poate permite atacatorilor să ocolească Java Security Manager (JSM).
Maven
Apache Maven este un manager de compilare utilizat pe scară largă pentru proiectele Java, permițând gestionarea centrală a compilării, raportării și documentației unui proiect. O vulnerabilitate în Apache Maven 3.0.4 permite hackerilor de la distanță să falsifice serverele într-un atac de tip man-in-the-middle.
Tomcat
Acest popular server de aplicații web Java a fost un favorit permanent în rândul dezvoltatorilor pentru construirea de servlet-uri și aplicații cu JavaServer Pages. Cu o vechime de mai bine de un deceniu, Tomcat a acumulat o gamă relativ impresionantă de lacune de securitate, de la XSS la vulnerabilități CSRF – dintre care multe au fost exploatate în sălbăticie.
Java 7
În ciuda intrării în scenă a Java 8 anul trecut, Java 7 este încă utilizat în mod predominant – deși se așteaptă ca până în 2016 versiunea 8 să fie liderul pachetului. Este de la sine înțeles că orice versiune de Java mai mică de 7 ar trebui actualizată imediat – chiar și versiunea 7 are nevoie de remedieri semnificative pentru flota sa de vulnerabilități.
Spring Framework
Spring este un cadru de aplicații cu propriul cadru model-view-controler pentru Java, care permite separarea logicii de intrare, de afaceri și de interfață utilizator. Un proiect open source, Spring nu este lipsit de partea sa echitabilă de vulnerabilități documentate.
JavaServer Faces
JavaServer Faces (JSF) este un cadru de prezentare pentru Java care facilitează dezvoltarea de elemente de interfață utilizator reutilizabile. O vulnerabilitate în Apache MyFaces Core 2.0.x înainte de 2.0.12 și 2.1.x înainte de 2.1.6 poate oferi atacatorilor de la distanță posibilitatea de a citi fișiere arbitrare.
Eclipse IDE
Eclipse este un instrument desktop popular pentru crearea de aplicații web în Java și a servit ca mediu de dezvoltare integrat (IDE) preferat al dezvoltatorilor Java timp de ani de zile. Din nefericire, anumite versiuni ale fișierelor sale de ajutor – dintre toate – sunt vulnerabile la exploit-uri legate de XSS.
Vaadin
Vaadin este un cadru Java popular pentru construirea de aplicații web Java contemporane – gândiți-vă la aplicații web moderne, cu o singură pagină, bazate pe Java. O vulnerabilitate XSS din cadrul poate permite atacatorilor de la distanță să injecteze scripturi arbitrare în pagini.
Remediere
Pentru a remedia vulnerabilitățile de mai sus, va trebui să identificați care dintre aceste tehnologii sunt utilizate în mediul dumneavoastră și să vizitați site-ul web al furnizorului/proiectului respectiv pentru informații despre actualizări/parchete. UpGuard poate găsi toate aceste elemente în mod automat, cu câteva clicuri de mouse. În plus, politica noastră editabilă privind vulnerabilitățile Java poate crește pentru a acomoda orice verificări personalizate pentru instrumente Java suplimentare. Testați-l astăzi – este gratuit.