`
zengshaotao
  • 浏览: 788723 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

java安全编码

 
阅读更多

软件安全问题,一般是以下几个方面引入:

安全设计不充分,业务逻辑存在漏洞

由于经验等因素,编码考虑不充分

功能部署不合规,如文件权限不够细,服务器未做安全处理

 

对于java本身,通过自身的平台特性和安全机制,在一定程度上保证了部分安全

问题,如平台特性(没有显示指针操作,自动检测数据边界,内存自动管理)

保证了没有缓存区溢出的编码问题;另外java本身的安全机制(类加载,字节码校验)

提供了一套全面细致的安全机制来支持认证、加密、授权和访问。

再通过安全编码,实现安全目标:机密性,完整性和可用性

机密性是确认数据不会被非法获取;

完整性是确保数据不会被恶意修改

可用性是确保系统或者资源能随时访问

 

常见的安全问题:

sql注入:产生的原因是未对不可信输入进行校验以及未对特殊字符进行转义,并且系统里的sql是进行拼接的。

解决方法是使用预编译的方式,ibatis则使用#,而不是$。对于hibernate,或者存储过程

都需要按照这样的方式进行处理

 

OS命令注入:一般在使用Runtime.exec(),或者使用外部输入生成系统命令,并且为进行

正确的校验。如过滤换行符,&命令分隔符 &&,“||”,“|”等用于执行多个命令的特殊符号

 

目录遍历攻击:未对包含路径的./和../进行过滤.导致攻击者可以访问受限目录和文件,如文件的

执行权限设置不当,还可以执行。解决方法:使用jdk标准的路径获取方法File.getCanonicalPath()

对于getAbsolute(),返回的是一个文件链接的绝对路径,而不是链接指向的目标文件

 

敏感信息保护:包含个人敏感信息的,个人身份证,口令,密钥等。对于一些异常,应该进行堆栈信息

的净化处理,不能明确告诉出错的堆栈信息。比如文件不存在异常,不应该将路径打印在堆栈中,应该

进行简单的提示。因为攻击者可以通过提示伪造信息,重现文件体系结构

 

 

分享到:
评论

相关推荐

    Java 安全编码.pdf

    Java 安全编码 Java 安全编码是 Java 开发语言中的一项重要考虑因素。Java 安全编码的主要目标是保护 Web 应用程序免受各种攻击和漏洞的影响。下面是 Java 安全编码的详细知识点: 1. SQL 注入攻击 SQL 注入攻击...

    JAVA安全编码规范参考.pdf

    JAVA安全编码规范参考文档深入分析了在Java开发中如何编写安全的代码,降低系统被攻击的风险。文档内容涵盖了安全编码的基本原则以及常见漏洞的安全编码方法。 一、安全编码基本原则 1. 所有输入数据都是有害的 在...

    Java安全编码标准

    资源名称:Java安全编码标准内容简介:《java安全编码标准》是java安全编码领域最权威、最全面、最详细的著作,java之父james a. gosling推荐。不仅从语言角度系统而详细地阐述java安全编码的要素、标准、规范和最佳...

    Java安全编码标准_PDF电子书下载 带索引书签目录_完整版

    不仅从语言角度系统而详细地阐述java安全编码的要素、标准、规范和最佳实践,而且从架构设计的角度分析了java api存在的设计缺陷和可能存在的安全风险,以及应对的策略和措施。可以将本书作为java安全方面的工具书,...

    Java安全编码培训.pdf

    Java安全编码培训是针对Java开发人员进行的一项专业培训,旨在提升程序员在编写代码时对安全性问题的认识和能力,防止在软件开发过程中引入安全隐患。本次培训涵盖了安全编码的重要性和基本概念,包括安全编码考核...

    JAVA安全编码手册.pdf

    标题《JAVA安全编码手册.pdf》中的知识点主要集中在Java应用程序开发中的安全编码实践,尤其是针对注入攻击的防御措施。文档内容围绕着SQL注入的定义、产生条件、种类、实例以及相应的解决方法。 SQL注入(SQL ...

    Java安全编码课件

    Java安全编码课件 SQL Injection Cross Site Scripting (XSS) HTTP Response Splitting Command Injection Path Manipulation Cross Site Request Forgery (CSRF) Access Control Insecure Randomness Password ...

    华为java安全编码规范考试3.1.md

    华为java安全编码规范考试3.1 血与泪整理除的答案,当前时间保证是最新的,基本所有题都能找到。有几题答案没写出来,但是写了所有的错误答案…………排除法

    C_C_和Java安全编码实践提示与技巧,C_C_和Java安全编码实践提示与技巧

    ### C/C++与Java安全编码实践提示与技巧 在当今高度数字化的世界中,软件安全已成为开发者面临的关键挑战之一。无论是大型企业应用还是嵌入式系统,确保代码的安全性都至关重要。本文将深入探讨C/C++及Java编程语言...

    #资源分享达人# JAVA安全编码规范参考.zip

    #资源分享达人# JAVA安全

    8JAVA安全编码规范参考.zip

    Java安全编码规范是保障软件开发过程中的安全性,防止因编程错误导致的安全漏洞,如SQL注入、跨站脚本攻击(XSS)、权限绕过等。遵循这些规范,开发者可以编写出更健壮、更安全的代码。以下是针对"8JAVA安全编码规范...

    XXXX有限公司JAVA安全编码规范.doc

    【JAVA安全编码规范】 在Java编程中,安全性是至关重要的,尤其是在开发企业级应用时。XXXX有限公司的JAVA安全编码规范旨在提供一套详细的指导原则,帮助开发者编写出更安全、更可靠的代码,防止潜在的安全漏洞。这...

    C、C++和Java安全编码实践提示与技巧

    ### C、C++和Java安全编码实践提示与技巧 #### 注入攻击防范 在软件开发过程中,特别是使用C、C++或Java等语言时,安全编码至关重要。本篇重点介绍几种常见的安全问题及其防范措施,尤其关注的是如何避免注入攻击...

    Java安全编码规范,包括示例和解决方法

    Java安全编码规范是确保软件开发过程中的安全性,防止各种安全漏洞,如SQL注入、跨站脚本攻击(XSS)、权限越权等问题。以下是对给定内容的详细解释: 1. **版本控制**: - 项目应使用最新的稳定版本,如Java 8不...

    JAVA开发手册与安全编码规范.zip

    Java开发手册以 Java 开发者为中心视角,划分为编程规约、异常日志、单元测试、安全规约、MySQL 数据库、工程结构、设计规约七个维度进行...Java安全编码规范明确安全编码的基本原则,常见漏洞对应的安全编码方法等。

    公司安全编码规范合集.zip

    JAVA安全编码规范参考 JAVA开发手册与安全编码规范 NET安全编码规范 OWASP安全编码规范快速参考指南 保险集团Web应用编码安全指南 保险行业机构代码编码规范 金融公司安全编码规范 金融机构编码规范 证券投资基金...

    jsct:Java安全编码培训

    Java安全编码培训是一个重要的主题,尤其对于任何涉及Java开发的组织和个人来说,它都是不可或缺的知识领域。Java作为一种广泛使用的编程语言,其安全性直接关系到应用程序的稳定性和用户数据的安全。以下是一些关于...

    java编码规范考试题答案.doc

    本文档涵盖了Java编码规范的各种方面,包括集合类、线程、对称密码算法、异常处理、命名规范、随机数生成、压缩文件解压、安全编程规范、操作系统登录用户名获取、Java新循环写法、方法参数、字符串比较、加密和数字...

Global site tag (gtag.js) - Google Analytics