学习《阿里巴巴JAVA开发手册》之(五)安全规约

最新推荐文章于 2022-03-09 10:29:42 发布
最新推荐文章于 2022-03-09 10:29:42 发布
阅读量189 收藏
点赞数
分类专栏: # 编码规范 java基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lydia_cmy/article/details/96278913
版权
本文详细介绍了《阿里巴巴JAVA开发手册》中的安全规约,包括权限控制校验、数据脱敏、防止SQL注入、参数校验、HTML页面输出安全、CSRF防护、防重放限制和风控策略等内容,旨在提升JAVA开发的安全性。
摘要由CSDN通过智能技术生成

学习《阿里巴巴JAVA开发手册》系列

(1)权限控制校验

  • 隶属于用户个人的页面或者功能必须进行权限控制校验。
  • 说明:防止没有做水平权限校验就可随意访问、操作别人的数据,比如查看、修改别人的订单。

(2)数据脱敏

  • 用户敏感数据禁止直接展示,必须对展示数据脱敏。
  • 说明:查看个人手机号码会显示成:134****7138,隐藏中间 4 位,防止隐私泄露。

(3)SQL 注入

  • 用户输入的 SQL 参数严格使用参数绑定或者 METADATA 字段值限定,防止 SQL 注入, 禁止字符串拼接 SQL 访问数据库。

(4)参数校验

  • 用户请求传入的任何参数必须做有效性验证。
  • 说明:忽略参数校验可能导致:
    a、page size 过大导致内存溢出
    b、恶意 order by 导致数据库慢查询
    c、任意重定向
    d、SQL 注入
    e、反序列化注入
    f、正则输入源串拒绝服务 ReDoS
  • 反序列化注入:如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。
    关于反序列化漏洞的原理分析可以参考这里?
最低0.47元/天 解锁文章
楚楚有惊喜~
关注
专栏目录
java入职学习一之编码规范
Yzq12312的博客
12-02 1453
编码规范 好的编码规范可以尽可能的减少一个软件的维护成本,并且几乎没有任何一个软件,在其整个生命周期中,均由最初的开发人员来维护。 好的编码规范可以改善软件的可读性,可以让开发人员尽快而彻底地理解新的代码。 好的编码规范可以最大限度的提高团队开发的合作效率。 长期的规范性编码还可以让开发人员养成好的编码习惯,甚至锻炼出更加严谨的思维。 安全规约 通过学习阿里巴巴的《阿里巴巴Java开发手册》和公司视频讲解,返现这七大强制约定和一个推荐约定的对于一个开发人员的良好编码习惯和逻辑思维有着重要的启发和引导作用
Java开发手册安全规约
晓宇博客
07-15 383
【强制】隶属于用户个人的页面或者功能必须进行权限控制校验。 说明:防止没有做水平权限校验就可随意访问、修改、删除别人的数据,比如查看他人的私信内容、修改他人的订单。 【强制】用户敏感数据禁止直接展示,必须对展示数据进行脱敏。 说明:查看个人手机号码会显示成:158****9119,隐藏中间4位,防止隐私泄露。 【强制】用户输入的SQL参数严格使用参数绑定或者METADATA字段值限定,防止SQL...
阿里java开发规范(5)---日志规约,单元测试,安全规约
Lujunwei0205的博客
07-11 3043
(二)日志规约1. 【强制】应用中不可直接使用日志系统(Log4j、 Logback) 中的 API,而应依赖使用日志框架SLF4J 中的 API,使用门面模式的日志框架,有利于维护和各个类的日志处理方式统一。import org.slf4j.Logger;import org.slf4j.LoggerFactory;private static final Logger logger = Log...
编码规约安全规约
绣花针
03-25 1134
目录 一、强制 1.隶属于用户个人的页面或者功能必须进行权限控制校验 2.用户敏感数据禁止直接展示 3.用户输入的 SQL 参数严格使用参数绑定或者 METADATA 字段值限定 4.用户请求传入的任何参数必须做有效性验证 5.禁止向 HTML 页面输出未经安全过滤或未正确转义的用户数据 6.表单、AJAX 提交必须执行 CSRF 安全验证 7.在使用平台资源,譬如短信、邮件、电话...
ASP.Net 后端数据验证
weixin_33912445的博客
03-14 405
数据验证 用户请求传入的任何参数必须做有效性验证。忽略参数校验可能导致: * page size过大导致内存溢出 * 恶意order by导致数据库慢查询 * 任意重定向 * SQL注入 * 反序列化注入 * 正则输入源串拒绝服务ReDoS 复制代码 使用 System.ComponentModel.DataAnnotations 验证数据 使用 System.ComponentMod...
阿里java开发手册学习笔记(四、 安全规约
计忆芳华的博客
05-29 264
隶属于用户个人的页面或者功能必须进行权限控制校验。 用户敏感数据禁止直接展示,必须对展示数据进行脱敏。中国大陆个人手机号码显示为:137****0969,隐藏中间 4 位,防止隐私泄露 用户输入的 SQL 参数严格使用参数绑定或者 METADATA 字段值限定,防止 SQL 注入,禁止字符串拼接 SQL 访问数据库。 用户请求传入的任何参数必须做有效性验证。 忽略参数校验可能导致: ⚫ page size 过大导致内存溢出 ⚫ 恶意 order by 导致数据库慢查询 ⚫ 任意重定向 ⚫ SQL 注入 ⚫.
阿里巴巴Java开发手册(华山版).pdf
03-20
阿里巴巴Java开发手册》通过一系列详尽的规约、建议和示例,为Java开发者提供了宝贵的指南。它不仅涵盖了基本的编程技巧和最佳实践,还深入探讨了高级主题,如并发控制、数据库管理和软件架构设计。遵循这些指南...
阿里巴巴java开发手册(嵩山版).pdf
最新发布
06-29
### 重要知识点解析 ...综上所述,《阿里巴巴Java开发手册》为开发者提供了一套全面、实用的开发规范。通过遵循这些规定,可以有效提高代码质量和开发效率,减少潜在的错误和隐患,确保项目的顺利进行。
阿里巴巴Java开发手册v1.2.0-1.pdf
01-17
"阿里巴巴Java开发手册v1.2.0-1.pdf" 本资源是阿里巴巴集团技术团队的集体经验总结,旨在帮助Java开发者提高代码质量和编程效率。手册分为大块:编程规约、异常日志、MySQL数据库、工程结构、安全规约,涵盖了...
阿里巴巴Java开发手册终极版v1.3.0.zip
05-21
阿里巴巴Java开发手册终极版v1.3.0》是一份全面、细致的Java开发规范,旨在帮助开发者遵循最佳实践,提升代码质量,降低维护成本,对于任何Java开发者来说,都是值得深入学习和参考的宝贵资源。
web项目开发安全规范
Jalen备忘录
09-14 2144
转自V型知识库(http://www.vxzsk.com/85/cate.html) 1. 【强制】可被用户直接访问的功能必须进行权限控制校验。 说明: 防止没有做权限控制就可随意访问、操作别人的数据,比如查看、修改别人的订单。 (权限和角色绑定) 2. 【强制】用户敏感数据禁止直接展示,必须对展示数据脱敏。 说明: 支付宝中查看个人手机号码会显示成:158****9119,
Java开发手册-第四章 安全规约
cc_whale的博客
10-13 623
研读阿里巴巴Java开发手册,第四章安全规约在我们工程中的实现。 [强制]隶属于用户个人的页面或者功能必须进行权限控制校验 说明:防止没有做水平权限就可随意访问,修改,删除别人的数据,比如查看他人的私信内容、修改他们的订单。 获取登录信息的memberId校验(更新用户地址) 用户敏感数据禁止直接展示,必须对展示数据进行脱敏。 memberAddress.getMemberRecipie...
阿里巴巴Java开发手册(正式版)》--安全规约
勿忘初心
02-21 1918
1.【强制】隶属于用户个人的页面或者功能必须进行权限控制校验。 说明:防止没有做水平权限校验就可随意访问、操作别人的数据,比如查看、修改别人的订单。 2.【强制】用户敏感数据禁止直接展示,必须对展示数据脱敏。 说明:查看个人手机号码会显示成:158****9119,隐藏中间 4位,防止隐私泄露。 3.【强制】用户输入的 SQL参数严格使用参数绑定或者 METADATA字段值限定,防止 SQL
《探错笔记》之一个正则引发的血案:ReDOS
御前提笔小书童
10-24 893
ReDoS(Regular expression Denial of Service) 正则表达式拒绝服务攻击。 开发人员使用了正则表达式来对用户输入的数据进行有效性校验, 当编写校验的正则表达式存在缺陷或者不严谨时, 攻击者可以构造特殊的字符串来大量消耗服务器的系统资源,造成服务器的服务中断或停止。 ReDoS 原理 概述 正则表达式也能造成拒绝服务?是的,当正则表达式写得不好时,就有可能...
glob-parent Regular expression denial ofservice
kking_edc的博客
03-09 2230
问题出现在chokidar包依赖的glob-parent版本过低,将"dependencies"中的glob-parent修改为: "glob-parent": "^6.0.1", 即可。
开发规范-安全规约
maoer95209520的博客
03-19 1637
【强制】隶属于用户个人的页面或者功能必须进行权限控制校验。 说明:防止没有做水平权限校验就可随意访问、修改、删除别人的数据,比如查看他人的私信内容、修改他人的订单。 【强制】用户敏感数据禁止直接展示,必须对展示数据进行脱敏。 说明:查看个人手机号码会显示成:1589119,隐藏中间4位,防止隐私泄露。 【强制】用户输入的SQL参数严格使用参数绑定或者METADATA字段值限定,防止SQL注入,禁止...
阿里巴巴Java开发规约的IDEA插件使用
程序猿DD
10-15 754
作者:不想当码农的程序员 原文:http://www.jianshu.com/p/2f271e6d675c 编辑:Moon 就在10月15日上午9:00,阿里巴巴在杭州云栖大会《研发效能峰会》上,正式发布《阿里巴巴Java开发手册》扫描插件,该插件在扫描代码后,将不符合《手册》的代码按 Blocker/ Critical/ Major三个等级显示在下方,甚至在IDEA
Fortify漏洞之Denial of Service: Regular Expression
arkqyo2595的博客
06-05 2123
  继续对Fortify的漏洞进行总结,本篇主要针对 Denial of Service: Regular Expression 漏洞进行总结,如下: 1、Denial of Service: Regular Expression 1.1、产生原因:   实施正则表达式评估程序及相关方法时存在漏洞,该漏洞会导致评估线程在处理嵌套和重复的正则表达式组的重复和交替重叠时挂起。此缺陷...
阿里巴巴Java开发手册:编程规约安全指南
"阿里巴巴Java开发手册(正式版)"是一份由阿里巴巴集团技术团队编制的、面向Java开发者的编码规范文档,旨在提升软件质量和开发效率。手册涵盖了编程规约、异常日志规约、MySQL规约、工程规约安全规约大主要部分...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值