Java安全编码小结

已于 2022-08-26 16:41:41 修改
阅读量4.8k 收藏 9
点赞数 20
文章标签: java
于 2022-04-05 21:17:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/loveoobaby/article/details/123931251
版权

平时开发中要养成安全意识,建立攻击者思维,编写可靠健壮的代码

1. 安全编码的基本原则

  • 外部输入都是不安全的,需严格校验;
  • 要建立防御性编程的策略;
  • 避免程序内部的处理流程暴露到外部环境;
  • 尽量减少代码的攻击面,避免与环境过多的交互,代码尽量简单;

2. SQL注入防范

SQL注入是直接使用了外部不可信的数据进行SQL拼接,导致与预期不同的查询。对SQL注入防范最有效的措施是使用参数化查询。

1. 参数化查询
错误案例: 直接不安全的外部数据进行拼接SQL

Statement stmt = null;
ResultSet rs = null;
try {
    String sql = "SELECT * FROM user where username = '" + username + "AND password = '" + password + "'";
    stmt = conn.createStatement();
    rs = stmt.executeQuery(sql);
    // 其他处理
} catch (Exception e) {
	// 省略
}

假如输入的username是user,同时password是
passwd' OR 'a' = 'a
那么查询语句将变为:
SELECT * FROM user where username = 'user' AND password = 'passwd' OR 'a' = 'a'
使得攻击者绕过整个限制条件。

正确案例: 使用(PreparedStatement)

PreparedStatement stmt = null;
ResultSet rs = null;
Connection conn = null;
try {
    String sql = "SELECT * FROM user where username = ? AND password = ?";
    stmt = conn.prepareStatement(sql);
    stmt.setString(1, username);
    stmt.setString(2, password);
    rs = stmt.executeQuery(sql);
    // 其他处理
} catch (Exception e) {

}

MyBatis中SQL映射可通过#指定动态参数,在创建参数化查询时将替换为占位符。但MyBatis也允许使用$符直接拼接SQL,这种做法存在SQL注入漏洞。

2. 防止SQL注入还可以通过对不可信数据进行转码。

3. 使用Runtime.exec与java.lang.ProcessBuilder时注意参数注入

向他们传递的参数如果包含&、&&、空格、双引号、斜杠、管道、重定向等,可能会导致参数注入。必须对输入参数进行检查及净化。

4. 不要使用外部数据构造正则

对外部传入的数据,需进行白名单净化,可过滤非字母/数字/空格/单引号等字符,之后方可用于构造正则,防止正则注入。
正确实例:

public static void find(String regex) {
    StringBuilder sb = new StringBuilder();
    for(int i=0; i< regex.length(); i++) {
        char c = regex.charAt(i);
        if (Character.isLetterOrDigit(c) || c == ' ' || c == '\'') {
            sb.append(c);
        }
    }
    
    String perfied = sb.toString();
    Pattern pattern = Pattern.compile(perfied);
}

5. 不要增加重载方法的可访问性

class Parent {
    protected void doSomething() {
        // do some logical
    }
}

class child extends Parent {
    public void doSomething() {
		// do some logical
    }
}

子类child覆写了基类的方法,并增加了可访问性。任何child的使用者均可调用此方法,不是好的编码习惯。

6. 进行数值运算时,避免整数溢出

加减乘除及求绝对值都有可能导致溢出,运算前需进行足够的判断。也可使用Math.*Exact静态方法,如果出现出现溢出会抛出ArithmeticException异常。

7. 不要向程序外部抛出敏感性异常

敏感异常包括:

异常类型信息泄露
FileNotFoundException泄露文件系统信息
SQLException泄露数据库结构
BindException泄露服务器端口信息
JarException泄露文件系统结构
MissingResourceException资源列举攻击
NotOwnerException所有人列举
InsufficientResourcesException服务器资源不足,可能有利于Dos攻击

8. 不使用私有加密算法

不要使用私有加密算法,使用经过验证、公开、安全的加密算法。
推荐的对称加密算法:AES
推荐的非对称加密算法:RSA(GCM模式)
推荐的数字签名算法:DSA、ECDSA

9. 日志中不打印敏感数据

10. 异常条件下保证锁正常释放

推荐直接使用synchronized,如果使用Lock接口,解锁放到finally中。

11. 不要使用getClass()获取的类对象作为锁对象

子类与父类的class对象完全不同,getClass返回的对象具有不确定性。

loveoobaby
关注
  • 20
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java编码规范总结
11-18
文中部分节选 1.整型实例。 修复建议:使用Integer.valueOf()替代new Integer。 2.switch语句包含太少分支。 修复建议:分支比较少的时候建议使用if else。原因:switch用来处理多分支的情况。 3.Switch语句应该包含一个default。 4.多线程错误 - 错误的延迟初始化和更新静态属性。 5.错误用法 - 集合转换为数组元素时发生的类型转换错误。 修复建议:使用c.toArray(new String[c.size()])。 6.不良实践 - 方法返回boolean类型返回了null。 7.错误用法 - "."用作正则表达式。 修复建议:String的split方法传递的参数是正则表达式,正则表达式本身用到的字符需要转义,如:句点符号“.”,美元符号“$”,乘方符号“^”,大括号“{}”,方括号“[]”,圆括号“()” ,竖线“|”,星号“*”,加号“+”,问号“?”等等,这些需要在前面加上“\\”转义符
Java中的字符编码问题处理心得总结
09-02
Java中的String类默认是Unicode编码,大家平常所说的UTF-8就是使用最广的一种unicode的实现方式,以下我们还是来看一下Java中的字符编码问题处理心得总结:
JAVA编码规范:安全规约、mysql数据库_java后端的sql编码规范
最新发布
2401_84102915的博客
04-03 651
说明:其中 id 必为主键,类型为 bigint unsigned、单表时自增、步长为1。create_time,update_time的类型均为 datetime 类型。数据的创建时间和数据的修改时间,分别代表这条数据什么时间创建什么时间修改;id是作为数据库一定遵守设计范式第一范式就是必须有主键代表数据的唯一值。
安全编码的基本准则,安全编码开发规范。
06-29
安全编码的基本准则,安全开发规范。
Java编码总结.pdf
09-30
Java编码总结.pdf
java编码总结1
04-06
NULL 博文链接:https://lhc1986.iteye.com/blog/1544701
Java SQL注入问题
qq_29319189的博客
08-27 1073
说明:导致信息泄露或者数据被篡改。 防止SQL注入的建议: ①使用参数化查询:最有效的防护手段,对于sql语句中的表名、字段名、部分场景下的in条件不适用; ②对不可信数据进行白名单校验:适用于拼接sql语句中的表名、字段名; ③对不可信数据进行转码:适用于拼接到sql语句中的由引号限制的字段。 Statement 用于执行不带参数的简单SQL语句,并返回它所生成结果的对象,每次执...
如何在Java开发中,更加安全编码?这是一个问题
python6_quanzhan的博客
07-29 410
写在前面 目前处于互联网时代,任何信息的传播都离不开网络的环境。而Java又作为互联网时代的第一语言,如何更规范的编码,使在程序开发中更加安全的运用,就是老生常谈的互联网安全问题之一。 今天,笔者就为大家带来整理的Java开发中的安全编码问题,只是笔者个人见解,有哪里不完善的地方,请各位大佬多多指出,笔者和大家一起进步学习~~~ 输入校验 编码原则:针对各种语言本身的保留字符,做到数据与代码相分离。 SQL 注入防范 严重性高,可能性低。 (1) 参数校验,拦截非法参数(推荐.
JAVA安全编码规范
Websec
11-10 7259
Java安全编码规范-1.0.6 by k4n5ha0 Java安全编码规范-1.0.6 by k4n5ha0 编写依据与参考文件: 1.《信息安全技术 应用软件安全编程指南》(国标 GBT38674-2020) 2.《Common Weakness Enumeration》 - 国际通用计算机软件缺陷字典 3.《OWASP Top 10 2017》 - 2017年十大Web 应用程序安全风险 4.《fortify - 代码审计规则》
java安全编码指南之:基础篇
热门推荐
程序那些事
08-25 2万+
作为一个程序员,只是写出好用的代码是不够的,我们还需要考虑到程序的安全性。在这个不能跟陌生人说话世界,扶老奶奶过马路都是一件很困难的事情。那么对于程序员来说,尤其是对于开发那种对外可以公开访问的网站的程序员,要承受的压力会大很多。 任何人都可以访问我们的系统,也就意味着如果我们的系统不够健壮,或者有些漏洞,恶意攻击者就会破门而入,将我们辛辛苦苦写的程序蹂躏的体无完肤。 所以,安全很重要,今天本文将会探讨一下java中的安全编码指南。
Java一些安全编码标准(第三版)
lihaoyiding的博客
02-25 836
java一些安全编码标准
Java编码方式和Unicode知识总结
04-22
此文档为Java编码方式和Unicode知识总结,对了解学习Java编码的讲解很全面清楚!
Java安全编码标准
07-22
资源名称:Java安全编码标准内容简介:《java安全编码标准》是java安全编码领域最权威、最全面、最详细的著作,java之父james a. gosling推荐。不仅从语言角度系统而详细地阐述java安全编码的要素、标准、规范和最佳实践,而且从架构设计的角度分析了java api存在的设计缺陷和可能存在的安全风险,以及应对的策略和措施。可以将本书作为java安全方面的工具书,根据自己的需要,找 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
安全开发】IOS安全编码规范
11-30 1227
申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-7-IOS%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E8%A7%84%...
JAVA安全编码标准
AlbenXie的博客
12-06 2287
以下内容摘取自《JAVA安全编码标准》,略做修改和补充解释,这是一个把书读薄和知识串通的过程 文章目录 一、输入验证和数据净化 二、声明和初始化 三、表达式 四、数值类型与运算 五、面向对象 六、方法 七、异常行为 八、可见性和原子性 九、锁 十、线程API 十一、线程池 十二、与线程安全相关的其他规则 十三、输入输出 十四、序列化 十五、平台安全性 十六、其他 一、输入验证和数据净化 1...
Java一些安全编码标准(第二版)
lihaoyiding的博客
01-03 594
Java一些安全编码标准(第二版)
安全开发java安全编码规范
11-30 1559
申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-3-java%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E8%A7%84...
Java编码安全规范
qq_38056704的博客
01-16 6271
简述:入职菊厂第一周,没什么任务,正全力准备java安全编码考试,跟阿里规范类似,不过要多很多安全攻防的内容和一些之前没注意的知识点,所以记录分享自己学到的经验 断言滥用 断言应该只存在于测试类,而不应该出现在业务代码之中。因为断言是可以被关掉的!!也就是如果你业务代码里用到断言去校验一个参数的状态,断言如果被关掉,你这段代码就是跳过执行成为漏洞。 Java断言的开启关闭和初步使用_jjj03230304的博客-CSDN博客_java 禁用断言1 说明  java断言assert是jdk1.4引入的。
java安全编码规范(0)
AI
05-10 573
JAVA安全编码标准 有这么一指导书,新手可以去看看,这里主要从实践总结,随时会更新。主要从十个方面去了解下,实际上远远不只这些哦。​​​​​​​。
怎么提升Java编码能力
03-13
作为一个 AI,我可以为您提供以下建议来提升您的 Java 编码能力: 1. 学习 Java 的基础知识,包括语法、数据类型、控制流程等等。 2. 熟悉 Java 的常用类库,例如集合框架、IO 操作、多线程等等。 3. 练习编写 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值