java日常常见的几种安全问题

最新推荐文章于 2024-04-05 21:59:46 发布
最新推荐文章于 2024-04-05 21:59:46 发布
阅读量379 收藏 2
点赞数
分类专栏: java 工具类 文章标签: java 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lixia0417mul2/article/details/131670416
版权

背景:

日常工作中,我们总是需要关注项目的安全问题,本文就来简单介绍下日常中经常遇到的几种安全问题以及解决措施

常见安全问题

1.sql注入
导致sql注入的原因大部分是因为sql拼接导致的,比如通过用户id查询用户的记录,正常的sql如下:

select * from user where user_id = 1234

被sql注入后的sql如下:

select * from user where user_id=1234 or 1=1

这样所有的用户信息就都泄漏了,使用PrepareStatement的方式,结合#{}占位符就可以有效避免sql注入

2.没有限制上传文件格式
当我们有需要用户上传文件的操作时,为了防止用户上传木马等程序,我们需要在代码中限定上传的文件格式,比如必须是图片格式,这样需要代码中限制文件后缀必须.jpg或者.png结尾

3.下载用户指定的文件
当我们不加限制的使用用户给定的路径获取文件内容,然后把文件内容传输给用户时,我们就已经把自己的系统给暴露了,因为用户可以指定类似于…/…的形式获取任何一个层级下的文件内容,比如…/…/etc/passwd文件内容,这是一个巨大的安全隐患,所以我们需要限制用户的下载路径不能包含…等特殊的分隔符

4.用户越权访问
假设系统通过接口提供通过订单id获取订单记录的功能,对于每个入参的订单id,都应该判断这个订单所属的用户是这个订单的所有者才能返回订单详情,否则就会被别有用心的人获取大量订单的信息

总结:

总之,安全无小事,本文就简单记录下日常工作中常遇到的几种安全问题,希望对后来人有帮助.

lixia0417mul2
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java几个常见工具类参考
07-29
Java编程中,工具类(Util)是程序员日常开发中不可或缺的部分。它们提供了一系列静态方法,简化了常见的任务,如字符串处理、集合操作、日期时间管理等。以下是一些Java常见的工具类及其核心功能的详细说明: ...
Java中异常打印输出的常见方法总结
08-30
Java中异常打印输出的常见方法总结中,异常打印输出是Java应用中的警报器,帮助我们快速定位问题的类型以及位置。在项目中,正确使用异常打印方法是非常重要的,但是在实际开发中,一些童鞋可能没有正确使用异常...
java web系统的常见安全问题
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
12-11 1588
java开发的系统在发布到互联网后都需要进行安全扫描,本文主要总结开发web系统需要注意的与系统安全相关的问题。因为在做需求开发时,很少产品会将系统安全的因素考虑在内,总觉得实现个需求很简单,就是一些页面,一些接口。以至于在构筑安全的逻辑上没给工时,开发人员也没想太多去实现这些有必要有看不见的东西。所以一般就变成了系统上线后,发现安全问题,再返工补漏洞的现象。显得非常不专业。
Java线程安全问题以及解决方案
m0_74209411的博客
02-25 921
多线程
详解Java项目安全方向解决方案
左安青的博客
05-23 2312
Java项目开发中,安全方向主要包括以下几个方面:认证、授权、加密、防火墙、日志管理、漏洞扫描和安全审计等。下面我分别对这几个方面进行详解,并提供解决方案来确保Java项目的安全
JAVA开发(web常见安全漏洞以及修复建议)
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
01-12 2007
web常见安全漏洞以及修复建议
Java】线程安全问题
最新发布
daydayup
04-05 1412
在之前的文章中,已经介绍了关于线程的基础知识。我的主页: 🍆🍆🍆欢迎各位大佬来到我的主页进行指点一同进步!!!
java.lang.NullPointerException出现的几种原因及解决方案
08-19
java.lang.NullPointerException是Java中最常见的异常之一,它经常出现在日常编程中。了解java.lang.NullPointerException的原因和解决方案对于Java开发者来说非常重要。本文将详细介绍java.lang....
Linux 运行jar包的几种方式
08-24
首先,最常见的命令是`java -jar xxx.jar`,这种方式使得SSH终端被锁定,程序运行过程中可以通过按下CTRL+C中断程序,或者直接关闭终端窗口,程序会随之退出。这种方式适用于简单的调试和测试。 第二,通过在命令...
JAVA进程突然消失问题解决方案
08-19
在日常开发和运维中,对这些常见问题的理解和处理能力至关重要,以确保Java应用的稳定性和可靠性。通过深入理解Java进程消失的各种可能性,并掌握相应的排查技巧,开发者可以更有效地诊断和解决这类问题,提高系统的...
七个常见Java应用安全陷阱及应对
jiey0407的博客
06-13 1766
Java应用程序已经成为黑客经常攻击的目标,毕竟,它涉及的组件太多:服务器端逻辑、客户端逻辑、数据存储、数据传输、API及其他组件,确保所有组件安全无疑困难重重。实际上,23%的.NET应用程序存在严重漏洞,而44%的Java应用程序存在严重漏洞。Java应用安全方面的挑战有很多,不过,本文列举了七个较常见的典型安全陷阱,如果企业安全团队意识到Java应用程序中可能存在漏洞,先试着从这几个方面着手开展工作,可能会更容易、更快捷发现并消除问题。XXE攻击如果网络攻击者利用可扩展标记语言(XML)解析器读取服务
java安全问题_JAVA常见安全问题复现
weixin_42105570的博客
02-15 497
地址来源于乌云知识库,作者z_zz_zzz0x01 任意文件下载web.xml的配置:DownloadActionDownloadActioncom.oboi.DownloadAction.DownloadActionDownloadAction/DownloadAction其中的servlet类要换下。类的代码如下:public class DownloadAction extends Http...
java web安全_常见JavaWeb安全问题和解决方案
weixin_39842611的博客
02-12 540
1.SQL注入:程序向后台数据库传递SQL时,用户提交的数据直接拼接到SQL语句中并执行,从而导入SQL注入攻击。字符型注入:黑色部分为拼接的问题参数select * from t_user where name='test' or '1' = '1';数字型注入:黑色部分为拼接的问题参数(对于强类型语言,字符串转int类型会抛异常。所以这种注入方式一般出现在php等弱类型语言上)select *...
JAVA安全JAVA服务器安全漫谈
swordheart的博客
04-25 999
0x00 前言 本文主要针对JAVA服务器常见的危害较大的安全问题的成因与防护进行分析,主要为了交流和抛砖引玉。 0x01 任意文件下载 示例 以下为任意文件下载漏洞的示例。 DownloadAction为用于下载文件的servlet。 1 2 3 4 5 6 7 8 9 10 11 12 13 <code>#!html <servlet>
java安全问题处理
weixin_43837268的博客
08-31 348
1、任何资金操作都需要在平台侧生成业务属性的订单,可以是优惠券发放订单,可以是返现订单,也可以是借款订单,一定是先有订单再去做资金操作。b、在测试阶段为了方便测试调试,我们通常会实现一些无需登录即可使用的接口,直接使用客户端传过来的用户标识,却在上线之前忘记删除类似的超级接口。1、用户密码不能加密保存,更不能明文保存,需要使用全球唯一的、具有一定长度的、随机的盐,配合单向散列算法保存。我们可以在页面或界面打开时请求固定的前置接口,为这个设备开启允许发送验证码的窗口,之后的请求发送验证码才是有效请求。
java篇】线程安全问题(大总结)
m0_64231944的博客
09-12 2700
复习自学线程之线程安全问题大总结;
Java开发的五条安全小贴士,助你的项目更安全
murphysec的博客
05-11 991
前言 得益于Java的完备生态,Java一直是非常热门的编程语言。但对于刚刚接触Java的开发者来说,很少会去关注安全相关的问题,没有养成良好的开发习惯,在开发过程中容易带来安全隐患。 我们在本文中总结了五条简单有效的小建议。 一、及时更新依赖组件版本 在Java开发中,开发者经常会用到各类开源组件来实现自己的功能点,但是许多开发者不常关注安全资讯,不了解开源组件的哪个版本存在什么样的漏洞,从而可能会引入安全漏洞。 所以在选择开源组件版本的时候,应优先选择最新发布的组件,因为最新版本的组件通常都会
java开发安全_Java 安全开发
weixin_29901515的博客
02-21 415
Java Security Develop1. 拒绝服务 DDOSxml外部实体攻击(阻塞)定义白名单自定义 EntityResolver 接口过滤 systemID文件资源释放:final InputStream in = new FileInputStream(file);try {use (in);} finally {{} in.close();}数据库资源释放connection,sta...
Java安全开发注意事项
qq_42302684的博客
03-16 5170
互联网安全架构设计前言一、如何防御xss攻击?二、抓包如何防止篡改数据?三、对接口实现加密四、相关安全架构设计方案说明 前言 本文是对Java开发做安全的架构设计。 一、如何防御xss攻击? 攻击场景说明:在客户端发起请求时,如果URL的请求参数被篡改为网页脚本的话,而且后台没有对参数做处理的话,在当前页面中会受到恶意攻击。 如何解决:在后台编写一个过滤器,对后台接收到的请求参数做过滤处理。 代码说明: @Component @WebFilter public class XssFilter imple
Java笔试题大全:IBM、面试常见问题解析
其中包括名词解释、代码问题、编程题、Unix命令以及英语短文写作,覆盖了Java基础、J2EE框架、EJB、Ajax、Web服务等多个领域。" 这份资料详细列出了IBM公司的笔试题,涵盖了多个方面,包括对专业术语的理解、代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值