如何在Java开发中,更加安全的编码?这是一个问题,2024年最新劲爆

最新推荐文章于 2024-06-27 07:30:00 发布
最新推荐文章于 2024-06-27 07:30:00 发布
阅读量307 收藏 8
点赞数 4
分类专栏: 2024年程序员学习 文章标签: java 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ccc6553584/article/details/137815674
版权

先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7

深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

如果你需要这些资料,可以添加V获取:vip204888 (备注网络安全)
img

正文

(3) 及时更新升级第三方组件:

比如Struts、Spring、ImageMagick等。

日志伪造防范

严重性低,可能性高。

(1) 不要log用户可控的信息;

(2) 输入参数校验(推荐白名单):

// 处理回车、换行符

Pattern p = Pattern.compile(“%0a|%0d0a|\n|\r\n”);

Matcher m = p.matcher(data);

dest = m.replaceAll(“”);

(3) 使用 Log4j2。

XML 外部实体攻击

严重性中,可能性中。

(1) 关闭内联 DTD 解析,使用白名单来控制允许使用的协议;

(2) 禁用外部实体:

DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();

factory.setExpandEntityReferences(false);

(3) 过滤用户提交的 XML 数据:

比如 !DOCTYPE、<!ENTITY、SYSTEM、PUBLIC 等。

XML 注入防范

严重性中,可能性低。

(1) 教研用户输入(推荐白名单):

OutputFormat format = OutputFormat.createPrettyPrint();

(2) 使用安全的 XML 库(比如 dom4j)。

URL 重定向防范

严重性中,可能性低。

(1) 设置严格白名单及网络边界:

String url = request.getParameter(“url”);

String host = getHostFromUrl(url);

if(!validateHost(host)) {

return;

}

(2) 加入有效性验证的 Token;

(3) referer 适用于检测监控 URL 重定向、CSRF 等,多数场景下也可用作防范措施。

异常处理

====

编码原则:不要泄露详细异常信息。

敏感信息泄露防范

严重性低,可能性中。

屏蔽敏感信息示例:

catch(IOException e) {

System.out.println(“Invalid file”);

// System.out.println(“Error code: 0001”);

return;

}

保持对象一致性

严重性中,可能性低。

(1) 重排逻辑,使得产生异常的代码在改变对象状态的代码之前执行;

catch(Exception e) {

// revert

money -= PADDING;

return -1;

}

(2) 在出现异常导致操作失败的情况下,使用事务回滚机制;

(3) 在对象的临时拷贝上执行操作,成功后再提交给正式的对象;

(4) 回避修改对象的需求,尽量不去修改对象。

I/O 操作

=======

编码规则:可写的文件不可执行,可执行的文件不可写。

资源释放

严重性低,可能性高。

Java 垃圾回收器回自动释放内存资源,非内存资源需要开发人员手动释放,比如 DataBase,Files,Sockets,Streams,Synchronization 等资源的释放。

try {

Connection conn = getConnection();

Statement statement = conn.createStatement();

ResultSet resultSet = statement.executeQuery(sqlQuery);

processResults(resultSet);

} catch(SQLException e) {

// forward to handler

} finally {

if (null != conn) {

conn.close();

}

}

清除临时文件

严重性中,可能性中。

(1) 自动清除:

File tempFile = Files.createTempFile(“tempname”, “.tmp”);

try {

BufferedWriter writer = Files.newBufferedWriter(tempFile.toPath(),

StandardCharsets.UTF_8, StandardOpenOption.DELETE_ON_CLOSE)

// operate the file

writer.newLine();

} catch (IOException e) {

e.printStackTrace();

}

(2) 手动清除。

避免将 bufer 暴露给不可信代码

严重性中,可能性中。

wrap、duplicate 创建的 buffer 应该以只读或拷贝的方式返回:

Charbuffer buffer;

public Duplicator() {

buffer = CharBuffer.allocate(10);

}

/** 获取只读的 Buffer */

public CharBuffer getBufferCopy() {

return buffer.asReadOnlyBuffer();

}

任意文件下载/路径遍历防范

严重性中,可能性高。

(1) 校验用户可控的参数(推荐白名单);

(2) 文件路径保存到数据库,让用户提交文件对应的 ID 去下载文件:

<%

String filePath = getFilePath(request.getParameter(“id”));

download(filePath);

%>

(3) 判断目录和文件名:

if(!“/somedir/”.equals(filePath) || !“jpg”.equals(fileType)) {

return -1;

}

(4) 下载文件前做权限判断。

补充:禁止将敏感文件(如日志文件、配置文件、数据库文件等)存放在 web 内容目录下。

非法文件上传防范

严重性高,可能性中。

在服务器端用白名单方式过滤文件类型,使用随机数改写文件名和文件路径。

if(!ESAPI.validator().isValidFileName(

“upload”, filename, allowedExtensions, false)) {

throw new ValidationUploadException(“upload error”);

}

补充:如果使用第三方编辑器,请及时更新版本。

序列化/反序列化操作

==========

编码原则:不信任原则。

敏感数据禁止序列化

严重性高,可能性低。

使用 transient、serialPersistentFields 标注敏感数据:

private static final ObjectStreamField[] serialPersistentFields = {

new ObjectStreamField(“name”, String.class),

new ObjectStreamField(“age”, Integer.TYPE)

}

当然,正确加密的敏感数据可以序列化。

正确使用安全管理器

严重性高,可能性低。

如果一个类的构造方法中含有各种安全管理器的检查,在反序列化时也要进行检查:

private void writeObject(ObjectOutputStream out) throws IOException {

performSecurityManagerChek();

out.writeObject(xxx);

}

补充:第三方组件造成的反序列化漏洞可通过更新升级组件解决;

禁止 JVM 执行外部命令,可减小序列化漏洞造成的危害。

一、网安学习成长路线图

网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
在这里插入图片描述

二、网安视频合集

观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
在这里插入图片描述

三、精品网安学习书籍

当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
在这里插入图片描述

四、网络安全源码合集+工具包

光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
在这里插入图片描述

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块
在这里插入图片描述在这里插入图片描述

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
img

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

中去,这时候可以搞点实战案例来学习。
在这里插入图片描述

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块
在这里插入图片描述在这里插入图片描述

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
[外链图片转存中…(img-drqJTRD2-1713234727840)]

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

36氪(36Kr)频道首页
关注
专栏目录
【专家推荐】保姆级开源工具推荐,一用一个爽,非常(收藏系列)
左手の明天的博客
04-07 1165
这一期主要分享实用的开源工具,你值得拥有,保姆级推荐,用过的都说好,快收藏起来吧!!! 开源工具BlinkDB:大规模并行查询引擎OpenRefine:电子表格The R Project for Statistical Computing:统计分析语言D3.js:数据可视化GraphVis :基于javascript开发的原生前端组件库go-charts:基于 go-chart 生成数据图表Vimium :vim浏览器扩展Mogo:日志分析和查询平台PostHog:开源产品分析平台Gitinspecto.
Java必知必会系列:安全编码与漏洞防护
AI天才研究院
10-17 302
作者:禅与计算机程序设计艺术 1.背景介绍 安全编码(Security coding)和漏洞防护(Vulnerability protection)是一个互相关联且具有重要意义的问题。作为IT界的一名资深工程师、软件架构师或者CTO,你应该理解它的含义、背景、目的、意义、前景以及将来可能遇到的挑战。
探秘阿里巴巴Java编码规范:打造高效开发利器
gitblog_00076的博客
04-10 333
探秘阿里巴巴Java编码规范:打造高效开发利器 去发现同类优质开源项目:https://gitcode.com/ 引言 在软件开发,遵循一定的编码规范和最佳实践是提高代码质量、团队协作效率的关键因素。是一个由阿里巴巴开源的项目,旨在为Java开发者提供一套严谨且实用的编程指导原则。本文将深入探讨该项目的内容、技术分析和应用场景,并揭示其独特之处,帮助更多开发者提升代码编写水平。 项目简介 是一份...
JAVA安全编码规范
Websec
11-10 7872
Java安全编码规范-1.0.6 by k4n5ha0 Java安全编码规范-1.0.6 by k4n5ha0 编写依据与参考文件: 1.《信息安全技术 应用软件安全编程指南》(国标 GBT38674-2020) 2.《Common Weakness Enumeration》 - 国际通用计算机软件缺陷字典 3.《OWASP Top 10 2017》 - 2017十大Web 应用程序安全风险 4.《fortify - 代码审计规则》
java安全编码指南之:基础篇
热门推荐
程序那些事
08-25 2万+
作为一个程序员,只是写出好用的代码是不够的,我们还需要考虑到程序的安全性。在这个不能跟陌生人说话世界,扶老奶奶过马路都是一件很困难的事情。那么对于程序员来说,尤其是对于开发那种对外可以公开访问的网站的程序员,要承受的压力会大很多。 任何人都可以访问我们的系统,也就意味着如果我们的系统不够健壮,或者有些漏洞,恶意攻击者就会破门而入,将我们辛辛苦苦写的程序蹂躏的体无完肤。 所以,安全很重要,今天本文将会探讨一下java安全编码指南。
JAVA安全编码标准
AlbenXie的博客
12-06 2428
以下内容摘取自《JAVA安全编码标准》,略做修改和补充解释,这是一个把书读薄和知识串通的过程 文章目录 一、输入验证和数据净化 二、声明和初始化 三、表达式 四、数值类型与运算 五、面向对象 六、方法 七、异常行为 八、可见性和原子性 九、锁 十、线程API 十一、线程池 十二、与线程安全相关的其他规则 十三、输入输出 十四、序列化 十五、平台安全性 十六、其他 一、输入验证和数据净化 1...
Java安全编码实践
技术研究中心
06-25 243
通过本文的介绍,读者应该对Java安全编码实践有了初步的了解。编写安全Java代码是保障系统安全的重要一环,需要开发者不断学习和提高安全意识,采取有效的安全措施保护系统免受攻击。
dj音乐网站模板是一款梦幻风格的音乐俱乐部网站模板。.zip
02-21
DJ音乐网站模板是一款专为音乐俱乐部设计的梦幻风格网页模板,旨在为用户提供独特的在线音乐体验。这款模板以其动感十足、视觉冲击力强的特点,吸引了广大音乐爱好者和DJ们的关注。下面我们将深入探讨该模板所...
!大数据和java开发哪个技术难一点
m0_57205780的博客
07-09 958
Redis 什么是Redis? Redis的数据类型? 使用Redis有哪些好处? Redis相比Memcached有哪些优势? Memcache与Redis的区别都有哪些? Redis是单进程单线程的? 一个字符串类型的值能存储最大容量是多少? Redis的持久化机制是什么?各自的优缺点? Redis常见性能问题和解决方案: redis过期键的删除策略? Redis的回收策略(淘汰策略) ? 为什么Redis需要把所有数据放到内存? Redis的同步机制了解么? Pipeline有什么好处,为什么要用
java面试官常问的问题答案
m0_57700125的博客
05-20 315
前言 了解 JVM 是对 Java 开发人员的基本要求,JVM 的相关内容自然也成了现在 Java 程序员面试的重要考点。不过估计很多小伙伴和我一样,长时间醉心于 CRUD,却忘了去了解一下更底层、更基础的东西,殊不知这些才是决定你能在这条路上走多远的关键因素,那接下来我们就一起来深入学习一下看似神秘的 JVM 吧。JVM 总体来看内容还是很多的,我会把最重要的内容介绍给大家,不过如果你有时间和精力的话,还是推荐你去看一下《深入理解Java虚拟机》这本书,确实是有口皆碑。本文也会引用很多此书的内容并加上我自
!怎么用java编写app软件
m0_56835488的博客
05-25 2405
前言 作为一名编程人员,对MySQL一定不会陌生,尤其是互联网行业,对MySQL的使用是比较多的。对于求职者来说,MySQL又是面试一定会问到的重点,很多人拥有大厂梦,却因为MySQL败下阵来。实际上,MySQL并不难,今天这份最全的MySQL总结,一共1200页,几乎涵盖了MySQL的所有知识,尤其突出了实战技能和高级知识点,无论是工作还是面试看完这篇就足够了! 注意:关于MySQL的内容整理,包括了面试题、学习笔记、使用文档以及Xmind思维图几个部分,需要高清完整版《MySql学习资源大礼包》的朋
Java安全编码标准
07-22
资源名称:Java安全编码标准内容简介:《java安全编码标准》是java安全编码领域最权威、最全面、最详细的著作,java之父james a. gosling推荐。不仅从语言角度系统而详细地阐述java安全编码的要素、标准、规范和最佳实践,而且从架构设计的角度分析了java api存在的设计缺陷和可能存在的安全风险,以及应对的策略和措施。可以将本书作为java安全方面的工具书,根据自己的需要,找 资源太大,传百度网盘了,链接在附件,有需要的同学自取。
如何在Java实现安全编码
最新发布
微赚淘客开发者博客
06-27 446
大家好,我是免费搭建查券返利机器人省钱赚佣金就用微赚淘客系统3.0的小编,也是冬天不穿秋裤,天冷也要风度的程序猿!在当今数字化和网络化的时代,安全编码成为软件开发至关重要的一环。特别是在Java应用程序,如何保证数据安全性、防范各种安全漏洞成为了每个开发者必须面对的挑战。本文将探讨在Java实现安全编码的关键技术和最佳实践。
如何在Java开发,更加安全编码这是一个问题,3个月学会Java开发
2401_84023787的博客
04-10 730
又是一求职季,在这里,我为各位准备了一套Java程序员精选高频面试笔试真题,来帮助大家攻下BAT的offer,题目范围从初级的Java基础到高级的分布式架构等等一系列的面试题和答案,用于给大家作为参考以下是部分内容截图一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!持续更新**
Java安全编码:防范常见的安全漏洞和攻击
C891106的博客
12-02 647
为防范会话管理漏洞,开发人员应使用安全的会话管理机制,如使用HTTPS协议传输敏感信息、设置合理的会话超时时间和使用强大的会话标识符等。在用户身份认证和授权方面,开发人员应使用安全的机制,如使用哈希算法存储用户密码、使用加盐技术增加密码的安全性,以及使用RBAC(Role-Based Access Control)模型进行权限管理等。开发人员应使用安全的会话管理机制,如使用HTTPS协议传输敏感信息,设置合理的会话超时时间,并使用强大的会话标识符。对于用户上传的文件,开发人员应进行严格的检查和过滤。
java安全编码规范(0)
AI
05-10 601
JAVA安全编码标准 有这么一指导书,新手可以去看看,这里主要从实践总结,随时会更新。主要从十个方面去了解下,实际上远远不只这些哦。​​​​​​​。
java 防止js注入----ESAPI结合Top10安全开发实战
大碍桃花开
08-28 4431
ESAPI(Enterprise Security API)是一个免费开源的Web应用程序API,目的帮助开发开发出更加安全的代码,并且它本身就很方便调用。 根据下面的图,我将会介绍OWASP上10种类型的漏洞所对应的API使用方法,大概有十多个接口。 相关API介绍可以查看官方文档:https://www.javadoc.io/doc/org.owasp.esapi/esapi/2.1.0 ...
Java编码安全规范
qq_38056704的博客
01-16 6432
简述:入职菊厂第一周,没什么任务,正全力准备java安全编码考试,跟阿里规范类似,不过要多很多安全攻防的内容和一些之前没注意的知识点,所以记录分享自己学到的经验 断言滥用 断言应该只存在于测试类,而不应该出现在业务代码之。因为断言是可以被关掉的!!也就是如果你业务代码里用到断言去校验一个参数的状态,断言如果被关掉,你这段代码就是跳过执行成为漏洞。 Java断言的开启关闭和初步使用_jjj03230304的博客-CSDN博客_java 禁用断言1 说明  java断言assert是jdk1.4引入的。
Java一些安全编码标准(第一版)
lihaoyiding的博客
12-29 580
Java一些安全编码问题梳理
阿里巴巴Java开发手册:编程规约与质量提升
通过阿里云效平台集成的代码规约扫描引擎,开发者可以在编码过程实时获取反馈,及时修正不符合规约的地方。 阿里巴巴开发手册是提升团队开发效率、保证代码质量和安全的重要工具,也是个人开发者自我提升的宝贵...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值