java日常常见的几种安全问题

于 2023-07-11 22:25:24 发布
阅读量378 收藏 2
点赞数
分类专栏: java 工具类 文章标签: java 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lixia0417mul2/article/details/131670416
版权

背景:

日常工作中,我们总是需要关注项目的安全问题,本文就来简单介绍下日常中经常遇到的几种安全问题以及解决措施

常见安全问题

1.sql注入
导致sql注入的原因大部分是因为sql拼接导致的,比如通过用户id查询用户的记录,正常的sql如下:

select * from user where user_id = 1234

被sql注入后的sql如下:

select * from user where user_id=1234 or 1=1

这样所有的用户信息就都泄漏了,使用PrepareStatement的方式,结合#{}占位符就可以有效避免sql注入

2.没有限制上传文件格式
当我们有需要用户上传文件的操作时,为了防止用户上传木马等程序,我们需要在代码中限定上传的文件格式,比如必须是图片格式,这样需要代码中限制文件后缀必须.jpg或者.png结尾

3.下载用户指定的文件
当我们不加限制的使用用户给定的路径获取文件内容,然后把文件内容传输给用户时,我们就已经把自己的系统给暴露了,因为用户可以指定类似于…/…的形式获取任何一个层级下的文件内容,比如…/…/etc/passwd文件内容,这是一个巨大的安全隐患,所以我们需要限制用户的下载路径不能包含…等特殊的分隔符

4.用户越权访问
假设系统通过接口提供通过订单id获取订单记录的功能,对于每个入参的订单id,都应该判断这个订单所属的用户是这个订单的所有者才能返回订单详情,否则就会被别有用心的人获取大量订单的信息

总结:

总之,安全无小事,本文就简单记录下日常工作中常遇到的几种安全问题,希望对后来人有帮助.

lixia0417mul2
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java web系统的常见安全问题
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
12-11 1548
java开发的系统在发布到互联网后都需要进行安全扫描,本文主要总结开发web系统需要注意的与系统安全相关问题。因为在做需求开发时,很少产品会将系统安全的因素考虑在内,总觉得实现个需求很简单,就是一些页面,一些接口。以至于在构筑安全的逻辑上没给工时,开发人员也没想太多去实现这些有必要有看不见的东西。所以一般就变成了系统上线后,发现安全问题,再返工补漏洞的现象。显得非常不专业。
JAVA开发(web常见安全漏洞以及修复建议)
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
01-12 2001
web常见安全漏洞以及修复建议
java web安全_常见JavaWeb安全问题和解决方案
weixin_39842611的博客
02-12 540
1.SQL注入:程序向后台数据库传递SQL时,用户提交的数据直接拼接到SQL语句中并执行,从而导入SQL注入攻击。字符型注入:黑色部分为拼接的问题参数select * from t_user where name='test' or '1' = '1';数字型注入:黑色部分为拼接的问题参数(对于强类型语言,字符串转int类型会抛异常。所以这种注入方式一般出现在php等弱类型语言上)select *...
java有哪些常见问题,java编程安全常见问题都有哪些
weixin_28716217的博客
03-09 368
编程安全是程序员在开发软件的时候都需要关注的一个问题,而今天我们就通过案例分析来了解一下,java编程安全常见问题都有哪些。1、初始化顺序根据JLS(Java LanguageSpecification)中的定义,class在初始化过程中,需要同时初始化class中定义的静态初始化程序和在该类中声明的静态字段(类变量)的初始化程序。而对于static变量来说,如果static变量被定义为fina...
Java高级——安全
qq_27368373的博客
01-26 288
Java安全杂谈
java几个常见工具类参考
07-29
Java编程中,工具类(Util)是程序员日常开发中不可或缺的部分。它们提供了一系列静态方法,简化了常见的任务,如字符串处理、集合操作、日期时间管理等。以下是一些Java常见的工具类及其核心功能的详细说明: ...
Java中异常打印输出的常见方法总结
08-30
Java中异常打印输出的常见方法总结中,异常打印输出是Java应用中的警报器,帮助我们快速定位问题的类型以及位置。在项目中,正确使用异常打印方法是非常重要的,但是在实际开发中,一些童鞋可能没有正确使用异常...
java.lang.NullPointerException出现的几种原因及解决方案
08-19
java.lang.NullPointerException是Java中最常见的异常之一,它经常出现在日常编程中。了解java.lang.NullPointerException的原因和解决方案对于Java开发者来说非常重要。本文将详细介绍java.lang....
JAVA进程突然消失问题解决方案
08-19
日常开发和运维中,对这些常见问题的理解和处理能力至关重要,以确保Java应用的稳定性和可靠性。通过深入理解Java进程消失的各种可能性,并掌握相应的排查技巧,开发者可以更有效地诊断和解决这类问题,提高系统的...
Linux 运行jar包的几种方式
最新发布
08-24
首先,最常见的命令是`java -jar xxx.jar`,这种方式使得SSH终端被锁定,程序运行过程中可以通过按下CTRL+C中断程序,或者直接关闭终端窗口,程序会随之退出。这种方式适用于简单的调试和测试。 第二,通过在命令...
Java基础~Java线程同步
feizuiku0116的博客
03-15 354
一、线程同步的核心思想 加锁,把共享资源进行上锁,每次只能一个线程进入访问完毕以后解锁,然后其他线程才能进来。 二、方式一:同步代码块 作用:把出现线程安全问题的核心代码给上锁。 原理:每次只能一个线程进入,执行完毕后自动解锁,其他线程才可以进来执行。 synchronized(同步锁对象) { 操作共享资源的代码(核心代码) } 锁对象要求:理论上,锁对象只要对于当前同时执行的线程来说是同一个对象即可 三、方式二:同步方法 一、介绍 作用:把出现线程安全问题的核心方法给上锁。
Java - 出现线程安全问题的原因有哪些?
weixin_51626258的博客
08-30 905
从内存与cpu的角度来看:一行count++代码其实对应三条指令:① 从内存中读取数据到cpu;② 在cpu的寄存器中完成加法运算;
java开发安全问题_JAVA进行web开发安全问题
weixin_42512966的博客
02-16 671
一共有四种,分别是XSS攻击(关键是脚本,利用恶意脚本发起攻击),SQL注入(关键是通过用SQL语句伪造参数发出攻击),DDOS攻击(关键是发出大量请求,最后令服务器崩溃),CSRF攻击(关键是借助本地cookie进行认证,伪造发送请求)。1. XSS1.1 什么是XSS?XSS攻击:跨站脚本攻击(Cross-Site Scripting),为了不和层叠样式表(Cascading Style Sh...
JAVA常见安全问题复现
aixuan9365的博客
05-21 149
地址来源于乌云知识库,作者z_zz_zzz 0x01 任意文件下载 web.xml的配置: <servlet> <description></description> <display-name>DownloadAction</display-name> ...
Java web应用中的安全问题整理
本博客纯属个人网络笔记,如对阁下有用,甚喜;否则,关掉即可,不喜勿喷。专心写代码,不做键盘侠!
09-10 4649
背景几年前在CSDN的C币商城换购过一本《白帽子讲Web安全》,了解过Web网站在渗透测试过程中常见安全问题。近来,自己开发Java Web应用中存在一些安全漏洞,被迫要求关注这些安全隐患、并加固。那么本文就顺便整理一下Java Web开发过程中容易忽略的几个安全问题吧,这些问题都能搜到,并且加固方式也不复杂。初学者或者对安全要求不高的开发流程中,很可能被忽略。密码明文传输当年初学Java We
Java业务开发安全问题
keeper42的博客
11-12 1321
安全问题 任何客户端传过来的数据都是不能直接信任的 HTTP请求,任何客户端传过来的数据都是不能直接信任的,不能信任请求头与请求体里的任何内容。客户端传给服务端的数据只是信息收集,数据需要经过有效性验证、权限验证等后才能使用,并且这些数据只能认为是用户操作的意图,不能直接代表数据当前的状态。 如果接口面向内部服务,由服务调用方传入用户 ID 没什么不合理,但是这样的接口不能直接开放给客户端或 H5 使用。如果你的接口直面用户(比如给客户端或 H5 页面调用),那么一定需要用户先登录才能使用。登录后
如何解决 Java 安全问题
weixin_33814685的博客
01-14 147
如何解决 Java 安全问题,目前的应对策略都十分笨拙,往往适得其反。幸运的是,有一种新的方法可以将安全机制嵌入 Java 执行平台——或者更具体地说,嵌入 Java 虚拟机中,进而规避一些「Big Problem」。 保证 Java 应用的安全是一个艰巨的任务,在目前的软件开发领域,Java 程序员往往会从第三方库导入成千上万行代码。导...
常见JavaWeb安全问题和解决方案
qianlia的博客
03-21 1733
1、注入 SQL注入:程序向后台数据库传递SQL时,用户提交的数据直接拼接到SQL语句中并执行,从而导入SQL注入攻击。 字符型注入:黑色部分为拼接的问题参数 select * from t_user where name='test' or '1' = '1';数字型注入:黑色部分为拼接的问题参数(对于强类型语言,字符串转int类型会抛异常。所以这...
最全最详细的Java进阶核心知识集
03-15
最后,书中详细介绍了几种常见的垃圾收集器,如Serial、ParNew、ParallelScavenge和SerialOld,每个收集器的特点和适用场景都在这里得到阐述。 这份Java进阶知识集为开发者提供了深入了解Java内存管理和性能优化的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值