网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　现代的JavaEE应用程序有数百个库。依赖性解析工具，如Maven，导致了这个数字在过去五年时间里出现爆炸式增长。许多广泛使用的Java库都有一些已知的漏洞，会让web应用程序被完全颠覆。解决的办法是及时更新库。不要只运行单一扫描，因为新的漏洞每天都在发布。

　　10. 未经验证的转址和转送

　　任何时候你的应用程序使用不可信的数据，例如request.getParameter()或 request.getCookie()，在调用 response.sendRedirect()时，攻击者可以强制受害者的浏览器转到一个不受信任的网站，目的在于安装恶意软件。forward也存在着类似的问题，不同之处在于攻击者可以转送他们自己到未经授权的功能，如管理页面。一定要仔细验证转址和转送目标。

　　你应该持续留意这些问题。新的攻击和漏洞总是在被发现。理想情况下，你可以集成安全检查到现有的构建、测试和部署过程。

　　要在应用程序中检查这些问题，可以尝试免费的Contrast for Eclipse插件 。这不是一个简单的静态分析工具。相反，C4E利用Java仪表化API，来监视应用程序中与安全相关的一切。 C4E甚至能实时地做到完整的数据流分析，因此它可以跟踪来自于请求的数据，通过一个复杂的应用程序。例如，假设你的代码获取了一个参数值，用base64解码它，再存储于map中，把map放到数据bean中，再将bean存储到一个会话属性中，在JSP中获取bean 的值，并使用EL将这个值插入到网页。Contrast for Eclipse可以跟踪这些数据并报告XSS漏洞。哪怕你正在使用的是复杂的框架和库。没有其他工具能在速度，精度和易用性方面与之媲美。

　　你可以在Eclipse Marketplace找到Contrast for Eclipse。然后，只需转到服务器选项卡“Start with Contrast”——剩下的就交给它办吧。