开发安全Java应用程序的13条规则((Mark),零基础学习网络安全编程

当用户在浏览器中输入密码时,密码将以纯文本格式发送到服务器。那应该是它最后一次出现。我们必须先通过单向密码对密码进行加密,然后再将其持久保存到数据库中,然后在每次与该值进行比较时再次进行加密。

密码规则适用于所有个人身份信息:信用卡,社会保险号等。委托给应用程序的任何个人信息都应得到最高程度的保护。

数据库中未加密的凭据是一个巨大的安全漏洞,正在等待攻击者发现。同样,切勿将原始凭据写入日志,或以其他方式传输到文件或网络。要为我们的密码系统创建一个加盐的哈希并务必进行研究并使用推荐的哈希算法。

跳至规则4:始终使用库进行加密;不要自己动手。

Java安全规则4:使用已知和经过测试的库

尽可能使用已知的可靠库和框架。从密码哈希到REST API授权,这适用于整个范围。

幸运的是,Java及其生态系统对此提供了很好的支持。对于应用程序安全性,Spring
Security是事实上的标准。它提供了广泛的选择范围和灵活性,以适应任何应用程序体系结构,并且融合了多种安全方法。

解决安全性的第一个本能应该是进行研究,研究最佳实践。例如,如果要使用JSON
Web令牌来管理身份验证和授权,查看封装JWT的Java库,然后学习如何将其集成到Spring Security中。

Java安全性规则5:对外部输入抱有偏执

无论是来自用户输入表单,数据存储区还是远程API,都不要信任外部输入。

SQL注入和跨站点脚本(XSS)只是最常见的攻击,可能是由于错误处理外部输入而导致的。一个不为人所知的例子(其中很多例子)是“billion laughs
attack(一种 denial-of-
service(DoS)攻击,它主要作用于XML文档解析器。它也被称为指数实体扩展攻击,是一种名副其实的XML炸弹。该攻击通过创建一系列递归的XML定义,在内存中产生上十亿的特定字符串,从而导致DoS攻击。原理为:构造恶意的XML实体文件以耗尽服务器可用内存,因为许多XML解析器在解析XML文档时倾向于将它的整个结构保留在内存中,上亿的特定字符串占用内存达到GB级,使得解析器解析非常慢,并使得可用资源耗尽,从而造成拒绝服务攻击。)”,通过这种攻击,XML实体扩展会导致拒绝服务攻击。

每当收到输入时,都应进行完整性检查和消毒。对于可能呈现给另一个工具或系统进行处理的任何事物尤其如此。例如,如果某些事情可能会成为OS命令行的参数,必须小心!

一个特殊的众所周知的实例是SQL注入,它将在下一条规则中介绍。

Java安全规则#6:始终使用准备好的语句来处理SQL参数

每当构建一条SQL语句时,都有可能插值一段可执行代码。

知道了这一点,最好始终使用java.sql.PreparedStatement类来创建SQL。对于NoSQL存储(如MongoDB)也存在类似的功能。如果您使用的是ORM层,则实现将在后台使用PreparedStatements。

Java安全规则#7:不要通过错误消息来揭示实现

生产中的错误消息可以为攻击者提供丰富的信息来源。堆栈跟踪尤其可以揭示有关您正在使用的技术及其使用方式的信息。避免向最终用户显示堆栈跟踪。

登录失败警报也属于此类别。通常接受的错误消息应为“登录失败”与“未找到该用户”或“密码错误”。为潜在的恶意用户提供尽可能少的帮助。

理想情况下,错误消息不应显示您应用程序的基础技术堆栈。保持该信息尽可能不透明。

Java安全性规则#8:使安全性发布保持最新

我们需要经常检查安全更新并将其应用到JRE和JDK。

定期检查Oracle主页上的安全警报,以确保知道可用的重要补丁程序。每个季度,Oracle都会为Java的当前LTS(长期支持)版本提供一个自动补丁更新。问题是,只有在购买Java支持许可证的情况下,该补丁才可用。

如果我们的公司正在为此类许可证付费,遵循自动更新路线即可。 如果没有,比如可能正在使用OpenJDK,则必须自己进行修补。
在这种情况下,您可以应用二进制补丁,也可以简单地用最新版本替换现有的OpenJDK安装。 或者,使用商业支持的OpenJDK,例如Azul的Zulu
Enterprise。

Java安全规则#9:查找依赖项漏洞

有许多工具可以自动扫描您的代码库和相关性漏洞。您所要做的就是使用它们。

OWASP(开放式Web应用程序安全性项目)是致力于改善代码安全性的组织。 OWASP的值得信赖的高质量自动代码扫描工具列表包括多个面向Java的工具。

定期检查代码库,但还要注意第三方依赖性。攻击者同时针对开放源代码库和封闭源代码库。监视对依赖项的更新,并在发布新的安全修复程序时更新系统。

Java安全规则#10:监视和记录用户活动

如果没有主动监视应用程序,那么即使是简单的暴力攻击也可能成功。使用监视和日志记录工具来监视应用程序的运行状况。

如果想知道监视为何如此重要,只需坐在应用程序侦听端口上观看TCP数据包即可。除了简单的用户交互之外,我们还将看到各种活动。其中一些活动将是机器人和邪恶者扫描漏洞。

应该记录和监视失败的登录尝试,并部署对策。

监视可以提醒无法解释的峰值,而日志记录可以帮助了解攻击后出了什么问题。 Java生态系统包括大量用于日志记录和监视的商业和开源解决方案。

Java安全规则#11:当心拒绝服务(DoS)攻击

每当处理潜在的昂贵资源或进行潜在的昂贵操作时,都应防止资源使用失控。

Oracle在其“ Java SE安全编码指南”文档的“拒绝服务”标题下维护了针对此类问题的潜在媒介列表。

基本上,每当您要执行昂贵的操作(例如将压缩文件解压缩)时,都应监视资源使用量是否爆炸。不信任文件清单。仅信任实际的磁盘或内存消耗,对其进行监视,并防止服务器过度使用。

同样,在某些处理中,务必注意意外的永久循环。如果怀疑存在环路,请添加一个保护措施以确保该环路正在进展中,并在环路看起来像僵尸时将其干掉。

Java安全规则#12:考虑使用Java安全管理器

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
![img](https://img-
blog.csdnimg.cn/img_convert/65e23daf29513cd7df534a0e8af03072.png)
![img](https://img-
blog.csdnimg.cn/img_convert/c909197db29305a3fb20bb956c4eff6a.png)
![img](https://img-
blog.csdnimg.cn/img_convert/643aee0d492baf72340c1485c2966ae5.png)
![img](https://img-
blog.csdnimg.cn/img_convert/64c9aa03ffef7378271195fd6322d84c.png)
![img](https://img-
blog.csdnimg.cn/img_convert/243bfb28e92c60d36d57bf1fe086c13d.png)
![img](https://img-
blog.csdnimg.cn/img_convert/e5b22b2c11d2b5ff174654e26cf0834e.png)

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
![img](https://img-
blog.csdnimg.cn/img_convert/1fd2f213e72a42c35c442330a847b3b8.png)

学习路线:

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:
![在这里插入图片描述](https://img-
blog.csdnimg.cn/7a04c5d629f1415a9e35662316578e07.png#pic_center)

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
![img](https://img-
blog.csdnimg.cn/img_convert/e4565254e68e8d666c61bb70f2abb629.png)

老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
[外链图片转存中…(img-m2PhJWZ4-1713064936612)]

最后

从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。

因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。

干货主要有:

①1000+CTF历届题库(主流和经典的应该都有了)

②CTF技术文档(最全中文版)

③项目源码(四五十个有趣且经典的练手项目及源码)

④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)

⑤ 网络安全学习路线图(告别不入流的学习)

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2023密码学/隐身术/PWN技术手册大全

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

扫码领取

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值