2024年网安最新有效提高java编程安全性的12条黄金法则

最新推荐文章于 2024-06-24 16:45:00 发布
最新推荐文章于 2024-06-24 16:45:00 发布
阅读量130 收藏 21
点赞数 20
分类专栏: 程序员 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84239830/article/details/138376262
版权

漏洞喜欢隐藏在复杂代码中,因此在不牺牲功能的情况下使代码尽可能简单。在代码中公开尽可能少的信息,隐藏实施细节,支持可维护和安全的代码。下面三个技巧将大大有助于编写安全的Java代码:

  • 充分利用 Java的访问修饰符。为类,方法及其属性声明访问级别,可以设为private的所有内容都应该为private。

  • 避免过度使用反射和内省。在某些情况下,应该使用这种高级技术,但是在大多数情况下,您应该避免使用它们。使用反射消除了强类型化,可能会给代码引入漏洞和不稳定性。将类名与字符串进行比较容易出错,并且很容易导致名称空间冲突。

  • 始终定义尽可能小的API和接口。解耦组件并使它们在尽可能小的区域内交互。即使您的应用程序的某个区域出现漏洞,其他区域也将是安全的。

Java安全规则2:避免使用Java自带的序列化

序列化接受远程输入,并将其转换为完全赋值的对象。它省去了构造函数和访问修饰符,并允许未知数据流成为JVM中的运行代码。Java序列化从根本上来说是不安全的。

Oracle就有长期计划 从Java中删除自带的序列化功能,甲骨文公司Java平台小组的首席架构师Mark Reinhold说,Java漏洞中的三分之一或更多都涉及到序列化的问题。

尽可能避免在Java代码中使用自带的序列化/反序列化。可以考虑使用JSON或YAML之类的序列化格式,并且永远不要公开接收并作用于序列化流的不受保护的网络请求端点。

Java安全规则3:永远不要公开未加密的凭证或PII

很多的应用,当用户在浏览器中输入密码时,密码将以纯文本格式发送到您的服务器。正确的做法是:先通过单向密码对密码进行加密,然后再将其持久保存到数据库中,然后在每次与该值进行比较时再次进行加密保存。 密码规则适用于所有个人身份信息(PII):信用卡,社会保险号等。委托给您应用程序的任何个人信息都应得到最高程度的保护。 数据库中未加密的凭据或PII是一个巨大的安全漏洞,正在等待攻击者发现。同样,切勿将原始凭据写入日志,或以其他方式传输到文件或网络。密码与密钥分开保存。

Java安全规则4:使用已知和经过测试的库

尽可能使用已知的可靠库和框架。从密码哈希到REST API授权,都要谨慎的选择第三方库。对于web应用程序安全性,Spring Security已经是事实上的标准。它提供了广泛的选择和灵活性,以适应任何应用程序体系结构,并且融合了多种安全方法。

Java安全规则5:不要对外部输入抱有幻想

无论是来自用户输入表单,数据存储区还是远程API,对于任何外部输入都不要放松警惕。

SQL注入和跨站点脚本(XSS)是由于处理外部输入错误而引起的最常见攻击。每当您收到输入时,都应该对其进行检查和校验。

Java安全规则6:始终使用PreparedStatement来处理SQL参数

每当您构建一条SQL语句时,都有可能被插入一段可执行的SQL代码。始终使用java.sql.PreparedStatement类创建SQL是一个好习惯。对于NoSQL存储(如MongoDB)也存在类似的功能。绝大部分的ORM框架,都支持该功能。

Java安全规则7:不要向用户展示服务异常信息

生产中的服务异常信息可以为攻击者提供丰富的信息来源。堆栈跟踪尤其可以揭示有关您正在使用的技术及其使用方式的信息。避免向最终用户显示堆栈跟踪信息,这非常重要。

Java安全规则8:使安全性发布保持最新

通过定期检查Oracle主页以获取security-alerts确保知道可用的重要补丁程序 。每个季度,Oracle都会为Java的当前LTS(长期支持)版本提供一个自动补丁更新。问题是,只有在您购买Java支持许可证的情况下,该补丁才可用。

Java安全规则9:查找依赖库漏洞

有许多工具可以自动扫描您的代码库和依赖项是否存在漏洞。OWASP(开放式Web应用程序安全性项目)是致力于改善代码安全性的组织。OWASP的值得信赖的高质量自动代码扫描工具列表 ,包括多个面向Java的安全检查工具。

Java安全规则10:监视和记录用户活动

如果您没有积极地监视应用程序运行状态,那么即使是简单的暴力攻击也可能会成功攻陷你的app。使用监视和日志记录工具来监视应用程序的运行状况。监视可以提醒您注意到无法被解释的峰值,而日志记录可以帮助您了解攻击后出了什么问题。

还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!

王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。

对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!

【完整版领取方式在文末!!】

93道网络安全面试题

内容实在太多,不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

1️⃣零基础入门
① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

image

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

image-20231025112050764

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84239830
关注
  • 20
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2024网安最全万字长文,自学网络安全详细路线图来了-网络安全自学路线图
06-28
学习网络安全需要系统化和持久的努力。以下是一些建议,可以帮助您...参与网络安全社区,了解最新安全趋势和技术。最后,保持学习的持久性。网络安全是一个不断演变的领域,新的威胁和技术不断涌现。因此,需要不断学
华科网安学院信息安全数学基础近五试卷以及答案
10-25
《华科网安学院信息安全数学基础近五试卷及答案解析》 华中科技大学网络安全学院作为国内信息安全领域的知名学府,其课程设置严谨且深入,尤其是《信息安全数学基础》这门课程,它对于培养学生的数学思维和信息...
代码怎么做到安全不泄露,推荐十种有效的源代码防泄露方法
cnsinda_htt的博客
05-17 176
然而,软件的安全性问题也日益凸显,尤其是源代码的泄露,可能会导致严重的经济损失和声誉损害。为您提供十种真实有效的方法,帮助您保护源代码安全。:部署入侵检测系统(IDS)和入侵防御系统(IPS)来监控和阻止潜在的网络攻击。:实施基于角色的访问控制(RBAC)系统,确保只有授权的员工才能访问源代码。:对于远程访问,使用虚拟专用网络(VPN)和双因素认证(2FA)提高安全性。:将服务器和存储设备放置在安全的物理位置,限制非授权人员的物理接触。:定期进行代码审计,检查潜在的安全漏洞和不当的代码实践。
您的 Java 代码安全吗?
Herr Apfel的专栏
06-10 1346
  虽然客户仍然很关心您为他们构建的应用程序的可伸缩性和可用性,但他们可能变得也很关心安全性,而且要求特别严格。应用程序可能容易受到两类安全性威胁的攻击:静态和动态。虽然开发人员不能完全控制动态威胁,但在开发应用程序时,您可以采取一些预防措施来消除静态威胁。本文概括并解释了 13 种类型的静态暴露 ― 它们是系统中的缺陷,它使系统暴露在想要篡夺该系统的特权的攻击者面前。您将学会如何处理这些暴露,以
Java中的安全架构设计与实现
最新发布
技术研究中心
06-24 700
大家好,我是免费搭建查券返利机器人省钱赚佣金就用微赚淘客系统3.0的小编,也是冬天不穿秋裤,天冷也要风度的程序猿!今天我们来聊聊Java中的安全架构设计与实现。随着互联网技术的不断发展,系统安全成为了每个Java开发者不可忽视的重要环节。本文将从安全架构的基本原则、常见的安全威胁及防御策略、具体的实现技术等方面进行详细阐述。
[转载]您的JAVA代码安全吗?
Beadle的专栏
07-16 428
本文来自51CTO[url]http://developer.51cto.com/art/200508/1364.htm[/url] 虽然客户仍然很关心您为他们构建的应用程序的可伸缩性和可用性,但他们可能变得也很关心安全性,而且要求特别严格。应用程序可能容易受到两类安全性威胁的攻击:静态和动态。虽然开发人员不能完全控制动态威胁,但在开发应用程序时,您可以采取一些预防措施来消除静态威胁...
您的java代码安全吗?
lcj325的专栏
11-14 198
开发 Java Web 应用程序时,您需要确保应用程序拥有完善的安全性特征补充。这里在谈到 Java 安全性时,我们并不谈及 Java 语言提供的安全性 API,也不涉及使用 Java 代码来保护应用程序。本文将着重讨论可能潜伏在您的 Java 应用程序中的 安全性暴露。安全性暴露是系统中的缺陷,它使系统无法 ― 即使系统被正常使用 ― 防止攻击者篡夺对系统的特权、控制系统的运行、危及系...
您的 Java 代码安全吗 — 还是暴露在外?
飞行鱼的专栏
01-24 1047
虽然客户仍然很关心您为他们构建的应用程序的可伸缩性和可用性,但他们可能变得也很关心安全性,而且要求特别严格。应用程序可能容易受到两类安全性威胁的攻击:静态和动态。虽然开发人员不能完全控制动态威胁,但在开发应用程序时,您可以采取一些预防措施来消除静态威胁。本文概括并解释了 13 种类型的静态暴露 — 它们是系统中的缺陷,它使系统暴露在想要篡夺该系统的特权的攻击者面前。您将学会如何处理这些暴露,以及如
安全Java代码
dxmdxmw的博客
10-11 326
我们一起来看一段不起眼的件判断代码,这里可能有什么问题吗 // a, b, c 都是 int 类型的数值 if (a + b < c) { // … } 复制代码 你可能会纳闷,这是再常见不过的一个件判断了,能有什么安全隐患? 这里的隐患是数值类型需要防范溢出,否则这不仅仅可能会带来逻辑错误,在特定情况下可能导致严重的安全漏洞。 从语言特性来说,Java 和 JVM 提供了很多
P神-Java安全漫谈
04-20
Java安全是指在Java编程和应用开发过程中采取的一系列措施,旨在保护Java应用程序、系统和数据免受恶意攻击、数据泄露和其他安全威胁的影响。Java安全主要涉及以下几个方面: 代码安全性Java提供了强大的安全机制...
网安工具系列:用Tor实现有效安全的互联网访问
01-31
网安工具系列:用Tor实现有效安全的互联网访问
java安全代码下载
01-05
java安全代码下载
Java安全性编程实例(徐迎晓)
12-21
# 本书共分9章,主要内容如下: # 第一章 # 解决的主要问题 # 运行本书的程序需要哪些软件? # 主要内容 # 介绍本书所使用的主要软件及其安装和配置 # 第二章 # 解决的主要问题——内容的安全性 # 数据在网上传递怎么样防止被黑客窃取听到? # 硬盘上的文件中有敏感数据,如何防止被黑客看到? # 主要内容 # 本章解决的是数据内容的安全性,介绍Java的加密和解密技术。学完该章可以通过Java编程对各种数据进行各种形式的加密。密码学也是安全机制的基础。 # 第三章 # 解决的主要问题——和源代码相关的安全性 # 编写好的程序给用户后,用户如果能反编译出源代码怎么办? # 定义类、成员变量、方法时如何防止恶意或无意的攻击? # 主要内容 # 本章解决的是和源代码相关的保护。包括源代码、类、成员变量、方法的保护。通过常用的反编译工具加强对源代码保护的认识,使用混淆器和加密等方式对源代码作了初步保护。同时演示了编写程序时如何考虑攻击者对类、成员变量、方法等方面的攻击。 # 第四章 # 解决的主要问题——确定数据的完整性和所有者 # 网上下载了一个程序,如何确定它确实是某某公司开发的? # 如何确定黑客没有将程序修改过? # 某公司或人发来一个文件,后来他不承认发过这个文件怎么办? # 主要内容 # 第四章起开始介绍和身份认证相关的技术。包括身份确定性、不可篡改性、不可否认性等,该章介绍的消息摘要和签名技术可解决这些问题。 # 第五章、第六章 # 解决的主要问题——数字化身份的凭证 # 实际应用中如何方便地使用摘要和签名技术? # 如何确定某个签名确实是某个人或机构的? # 主要内容 # 第五章和第六章介绍基于摘要和签名技术的数字证书。这是Java安全中确定身份的主要技术。其中第五章介绍了数字证书的创建、签发、验证和维护等,第六章介绍了多个证书组成的证书链(CertPath)的创建和验证。 # 第七章 # 解决的主要问题——数据安全传输,服务器和用户身份的确定 # 客户机和服务器之间的通信如何自动进行加密传输? # 客户机和服务器之间的通信如何相互确定身份? # 浏览器访问一个站点,如何确定这个站点不是黑客的服务器? # 主要内容 # 本章介绍介绍使用加密技术和证书机制的一个实际应用,基于SSL和HTTPS的编程。学完本章可以编写自己的SSL和HTTPS客户及服务器程序。 # 第八章 # 解决的主要问题——基于代码来源的程序的安全运行 # 网上下载了一个程序,运行时会不会删除我的文件,或将某些文件泄漏给黑客? # 编写了一个Java Applet,如何让其能访问硬盘上的文件? # 主要内容 # 本章介绍基于代码来源的程序的安全运行,可以基于运行时代码在哪个URL、或代码是谁签名的限制其可以访问哪些用户资源。还介绍了定义自己的权限以及签名Java Applet。 # 第九章 # 解决的主要问题——身份验证和基于执行者身份的程序的安全运行 # 程序需要用户输入账号和口令到数据库登录,但以后可能需要改为智能卡验证。 # 程序需要访问某个用户资源,但只有用户以某些特殊身份登录时才需要该权限。 # 主要内容 # 本章介绍Java验证和授权服务(JAAS),可以方便地更换验证模块,并实现基于身份的授权。
Java安全性编程实例
09-29
是一个pdf,因为重复了,所以压缩了下,只需要一分,福利大众。没有解压密码
安全编程规范
02-02
安全编程规范,提供详细的介绍,仅供学习,查看使用。
华中科技大学网安学院网络安全程序设计报告及代码
01-21
《华中科技大学网安学院网络安全程序设计报告及代码》涵盖了多方面的知识点,主要涉及网络通信安全、加密技术以及Java编程。下面将详细解读这些内容。 首先,基于OpenSSL的安全聊天系统是一个实现网络通信安全的...
浅谈Java代码安全(一)
u010959998的博客
09-11 3430
对于代码安全这块,工作限不多的开发人员或许一直不够重视,有的可能是公司规范上存在缺陷,也有的是个人态度上存在问题,之前看到一句话,安全倾向于 “明显没有漏洞”,而不是“没有明显漏洞” 个人觉得说的很对,下面罗列下自己工作上遇到的和觉得可能造成安全问题的地方,不足之处欢迎补充。 `public class DateFormat { private static ThreadLocal&amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;...
JAVA代码安全检测
feiyu84的专栏
02-23 3723
<br />虽然客户仍然很关心您为他们构建的应用程序的可伸缩性和可用性,但他们可能变得也很关心安全性,而且要求特别严格。应用程序可能容易受到两类安全性威胁的攻击:静态和动态。虽然开发人员不能完全控制动态威胁,但在开发应用程序时,您可以采取一些预防措施来消除静态威胁。本文概括并解释了 13 种类型的静态暴露 ― 它们是系统中的缺陷,它使系统暴露在想要篡夺该系统的特权的攻击者面前。您将学会如何处理这些暴露,以及如何发现(如果不处理这些暴露)这些暴露可能造成的影响。 <br />  在开发 Java Web 应用
浅谈Java代码安全(二)
u010959998的博客
09-11 587
先来看一段代码: //x, y, z 都是 int 类型 if (x + y &amp;lt; z) { } 这段代码是否存在问题呢,可能不仔细或者对数据结构不充分了解的同学就直接这么过了,当然大多数情况下可能这段代码也不会产生问题,但是还是那句话,安全倾向于 “明显没有漏洞”,而不是“没有明显漏洞”,这里的问题是数值类型会溢出,不仅仅会导致程序判断出现误判,严重的话还会影响整个业务,而且难以复现...
山东大学网安学院网络安全csdn
01-07
山东大学网安学院是国内知名的网络安全学院之一,致力于培养具有扎实的网络安全理论基础和实践能力的高级网络安全专业人才。学院拥有一支高水准的教师团队,他们在网络安全领域具有丰富的教学和实践经验,能够为学生提供高质量的教育资源和学习指导。 CSND是中国最大的IT技术社区之一,也是程序员们学习、分享技术、交流经验的重要平台之一。山东大学网安学院在CSND上设立了专门的网络安全板块,通过在这个平台上发布网络安全方面的学术论文、技术教程和行业动态,学院能够扩大自身在网络安全领域的影响力,也能够为广大的IT从业者和网络安全爱好者提供高质量的学习资源和交流机会。 通过在CSND上积极发布相关信息,山东大学网安学院能够与更多的网络安全领域的专业人士和高校学生建立联系和合作关系,为学院的网络安全专业人才培养提供更多的实践机会和实际工作经验。同时,学院也可以通过CSND这个平台了解到最新的网络安全技术和发展动态,为教学和科研提供更多的参考和支持。可以预见,山东大学网安学院网络安全CSND将为网络安全领域的发展和学院的教育工作带来积极的促进作用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值