Java 代码安全(一)      —— 避免用String储存敏感数据

最新推荐文章于 2022-09-07 17:12:08 发布
最新推荐文章于 2022-09-07 17:12:08 发布
阅读量1.3k 收藏 1
点赞数
文章标签: java 运维
原文链接:http://www.cnblogs.com/Jac440682/p/6417327.html
版权

Java 代码安全(一)
     —— 避免用String储存敏感数据

    如果重要的数据(保存在内存中)在使用后没有及时清理,有可能会导致信息泄漏。开发人员通常都回用String 保存敏感数据(密码,卡号等)。因为String 对象是不可变的,只有 JVM 的垃圾回收器才能从内存中清除String的值。而只有内存不足的时候虚拟机才会执行垃圾回收,所以我们不能保证垃圾回收什么时候进行。当系统崩溃后,memory dump 可能会泄漏敏感数据。

这里解析一下String 对象不可变是什么意思
比如 String  s1 = “abc”;  s1 = “def”;
这里引用 s1 只是重新指向另外一个对象。对象”abc”并没有被修改。
    

例子一:
   Final char[] password = getPassword();
   String  passwordAsString = new String(password)

这里passwordAsString 不确定什么时候被清理掉,容易被泄露。

解决方案:
   当重要数据不需要再使用的时候,保证把它清除掉。用byte 数组 或 character 数组来代替一些不可变的对象,比如String。应为byte 和 character 数组能用程序清理掉。
如:

Final char[] password = getPassword();
//use the password

//clear when finished
Arrays.fill(password,’’);


Memory dump : 内存转存  
用途:存一个当时内存的副本,可以用工具打开复原当时的情况。因为东西都在内存里。

附:java中String类的内存分配  http://jingyan.baidu.com/article/8275fc869a070346a03cf6f4.html

转载于:https://www.cnblogs.com/Jac440682/p/6417327.html

dmv8168
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
小心,用String代码可能会内存泄漏
石杉的架构笔记
04-07 1718
今天给大家聊聊平时写代码的时候最常见的String字符串代码它的一些底层原理,以及使用不当可能引发的内存泄漏的问题,相信对于大家平时日常开发写代码会有一定的帮助。
nginxRSA加密,java解密例子
02-23
总之,通过在Nginx中使用RSA加密并与Java后端进行解密配合,我们可以创建一个安全的通信链路,防止敏感信息在传输过程中被窃取。这种方法广泛应用于Web服务、API调用等场景,确保了数据的隐私和安全性。
Java 中 char 和 String 的细节和使用注意
u011277123的博客
11-14 5211
极乐科技 2016-11-12 18:13 char 数据类型的使用注意 Unicode 字符集 UTF-16 不建议在 Java 程序中使用 char 数据类型 String 的细节 获取字符串长度 尽量不要使用 String 来存储密码等敏感信息 char 数据类型的使用注意 在
尽量不要使用 String 来存储密码等敏感信息
赞哈哈的博客
05-19 2327
我们通常使用一个 String 类型变量来保存用户提交的密码等敏感信息,但实际上这是不安全的做法。 从 String 类的签名可以看到,String 的对象都是不可变的,也就是说 String 对象一旦被创建就不能通过任何方法(除了使用反射)对它进行修改,直到其被垃圾回收器回收(这段时间这个 String 对象通常会存在于常量池中)。这也就意味着在 String 对象被创建到垃圾回收器对它进行回收的这段时间,一旦内存被 dump,那么密码等敏感信息将以明文的形式暴露。 另外,我们可能在编程中无意的将密码打印
【JVM(内存与垃圾回收)】String的不可变性,String的内存分配,字符串拼接操作,拼接操作与append操作效率
Java—wang的博客
07-13 105
1.String的不可变性: 2.String的内存分配: 3.字符串拼接操作: 拼接的底层原理: 4.拼接操作与append操作效率:
在日常开发中,敏感数据应该如何保存或传输
魑魅魍魉
09-07 3260
说到敏感信息,第一个想到的恐怕就是用户密码了吧。攻击者一旦获取到了用户密码,就会登录用户的账号进行一系列操作。甚至有些用户还习惯不管什么应用都用同一个密码,导致攻击者可以登录用户全网账号。
Fortify代码扫描:Privacy Violation:Heap Inspection漏洞解决方案
热门推荐
初阶农民工的博客
01-06 2万+
该漏洞引发情况: 将敏感数据存储在 String 对象中使系统无法从内存中可靠地清除数据。 如果在使用敏感数据(例如密码、社会保障号码、信用卡号等)后不清除内存,则存储在内存中的这些数据可能会泄漏。通常而言,String是所用的存储敏感数据,然而,由于String对象不可改变,因此用户只能使用 JVM 垃圾收集器来从内存中清除String的值。除非 JVM 内存不足,否则系统不要求运...
对于一些敏感数据(例如密码),为什么使用字符数组存储比使用String安全
Rosen's
12-08 1001
Java语言中,String是不可变类,它被存储在常量字符串池中,从而实现了字符串的共享,减少了内存的开支。 正因为如此,一旦一个String类型的字符串被创建出来,这个字符串就会存在于常量池中,直到被垃圾回收器回收为止。 因此,即使这个字符串(比如密码)不再被使用,它仍然会在内存中存在一段时间(只有垃圾回收器才会回收这块内容,程序员没有办法直接回收字符串)。此时有权限访问memory dump(存储器转储)的程序都可能会访问到这个字符串,从而把敏感数据暴露出去,这是一个非常大的安全隐患。 如果使用.
【web漏洞百例】1.日志伪造、堆检查
程序猿之洞
03-16 1万+
一、日志伪造(Log Forging) 描述: 将未经验证的用户输入写入日志文件可致使攻击者伪造日志条目或将恶意信息内容注入日志。 举例: 在以下情况或发生“日志伪造”的漏洞: 1.数据从一个不可信的数据源进入应用程序 2.数据写入到应用程序或系统日志文件中 为了便于以后的审阅、统计数据或调试,应用程序通常使用日志文件来存储事务的历史记录。根据 应用程序自身的特性,审阅日志
Knn算法——数据挖掘.rar_Knn-java
09-23
- 在Java中实现KNN,首先需要创建一个数据结构来存储样本及其对应的标签,例如使用`List[], String>>`,其中Pair的第一个元素是特征数组,第二个元素是类别标签。 - 实现距离计算函数,比如`double euclidean...
全局字符串转换局部变量存储防止暴露敏感字符串
06-12
输入要转换的全局字符串,例如:C:\\file\\我的文件.txt,输出: //C:\\file\\我的文件.txt #ifdef _UNICODE TCHAR szC:\\file\\我的文件.txt[] = { 'C', ':', '\\', 'f', 'i', 'l', 'e', '\\', 0x6211, 0x7684, 0x6587, 0x4EF6, '.', 't', 'x', 't', '\0' }; #else CHAR szC:\\file\\我的文件.txt[] = { 'C', ':', '\\', 'f', 'i', 'l', 'e', '\\', 0xCE, 0xD2, 0xB5, 0xC4, 0xCE, 0xC4, 0xBC, 0xFE, '.', 't', 'x', 't', '\0' }; #endif 如果字符串不包含中文,例如:file not found,输出 //file not found TCHAR szfile not found[] = { 'f', 'i', 'l', 'e', ' ', 'n', 'o', 't', ' ', 'f', 'o', 'u', 'n', 'd', '\0' }; 以上结果把变量名稍作修改即可使用
Android缓存——将数据以对象的方式缓存到本地
07-23
在Android开发中,数据缓存是一项重要的技术,它能够提高应用程序的性能和用户体验。当用户访问数据时,如果数据已经被缓存,系统可以快速地从本地读取,避免了网络延迟或频繁数据库查询带来的影响。本示例"Android...
java实现微信小程序登录态维护的示例代码
08-29
接口返回的参数包括`openid`(用户在该小程序中的唯一标识)、`session_key`(会话密钥,用于后续解密敏感数据)和可选的`unionid`(同一账号在微信开放平台下的唯一标识)。 为了保护用户隐私,`openid`不应直接...
Android_数据存储与访问——文件[归类].pdf
10-11
需要注意的是,使用`MODE_WORLD_READABLE`和`MODE_WORLD_WRITEABLE`可能会带来安全风险,因为允许其他应用访问可能暴露敏感数据。在Android 4.4(KitKat)之后,系统默认禁用了这些模式,建议使用更安全的权限管理...
Java语言自身的安全性问题
Piggy and Jery 's GOLB
10-13 1796
From:http://hedong.3322.org/archives/000566.html存储/删除密码。如果密码是存储在 Java String 对象中的,则直到对它进行垃圾收集或进程终止之前,密码会一直驻留在内存中。即使进行了垃圾收集,它仍会存在于空闲内存堆中,直到重用该内存空间为止。密码 String 在内存中驻留得越久,遭到窃听的危险性就越大。更糟的是,如果实际内存减少,则操
java源码分析-String类不可变性讨论
String小四的博客
03-17 149
java源码分析-String类不可变性讨论 在很多面试过程中,有一个经常被问到的问题,请你谈一谈String对象为什么说是不可变的? 也许你会说,因为它被final修饰了,所以不可变。如果你这样回答,那么只能说,还是太年轻了。今天我们就好好讨论一下String对象的不可变性。 1.不可变对象 ​ 要聊String对象的不可变性,我们先要搞明白什么是不可变对象?不可变对象,顾名思义,对象在创建之后对象就不能在改变了。 对象的状态 ​ 对象的状态指的是存储在状态变量中的数据(状态变量包括实例或者静态域),还包
代码质量与性能优化
hepeng_dc的专栏
07-01 325
下面是参考网络资源总结的一些在Java编程中尽可能要做到的一些地方。 1. 尽量在合适的场合使用单例   使用单例可以减轻加载的负担,缩短加载的时间,提高加载的效率,但并不是所有地方都适用于单例,简单来说,单例主要适用于以下三个方面: 第一,控制资源的使用,通过线程同步来控制资源的并发访问; 第二,控制实例的产生,以达到节约资源的目的; 第三,控制数据共享,在不建立直接关联的条件下
内存泄露知识
Slowing down your step,you will enjoy more
03-17 602
<br /><br />所谓的内存泄漏可以理解为内存单元逐渐被无用的数据占用在c c++里可以通过内存单元没有释放引起java里可以通过 未对作废数据内存单元的引用置null引起分配了内存而没有释放,逐渐耗尽内存资源,导致系统崩溃。<br />内存泄露是指程序中间动态分配了内存,但是在程序结束时没有释放这部分内存,从而造成那一部分内存不可用的情况,重起计算机可以解决,但是也有可能再次发生内存泄露,内存泄露和硬件没有关系,它是由软件设计缺陷引起的。<br />内存泄漏可以分为4类:<br />1. 常发性内存
代码审计[java安全编程]
0x00的博客
06-27 8761
SQL注入 介绍 注入攻击的本质,是程序把用户输入的数据当做代码执行。这里有两个关键条件,第一是用户能够控制输入;第二是用户输入的数据被拼接到要执行的代码中从而被执行。sql注入漏洞则是程序将用户输入数据拼接到了sql语句中,从而攻击者即可构造、改变sql语义从而进行攻击。 漏洞示例一:直接通过拼接sql @RequestMapping("/SqlInjection/{id}") public...
Java 中应该使用什么数据类型来代表价格?
最新发布
06-06
Java 中,如果要代表价格,建议使用 BigDecimal 数据类型,而不是 double 或 float。 double 和 float 类型在计算机中存储时,采用的是二进制格式,无法精确地表示某些十进制小数,例如 0.1 或 0.01。这样就会导致在进行精确计算时出现精度误差,从而产生不准确的结果。 BigDecimal 类型则可以精确地表示任意大小和精度的十进制数,且不会出现精度误差。它提供了丰富的方法,可以进行常见的数学运算,例如加、减、乘、除、取余等。 以下是一个使用 BigDecimal 类型表示价格的示例: ```java import java.math.BigDecimal; public class Example { public static void main(String[] args) { BigDecimal price = new BigDecimal("10.99"); System.out.println("Price: " + price); } } ``` 在上面的示例中,我们使用了 BigDecimal 类型来表示价格,并将价格初始化为 "10.99"。这样可以确保价格的精度不会受到二进制存储的限制,从而得到精确的结果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值