代码规范
文章平均质量分 61
一杯咖啡的时间
1. 每一个成功者都有一个开始。勇于开始,才能找到成功的路。
2. 一个人的知识,通过学习可以得到;一个人的成长,必须通过磨练
展开
-
SDL 安全开发生命周期 详解
SDL介绍安全开发生命周期(SDL)即Security Development Lifecycle,是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。 自2004年起,微软将SDL作为全公司的计划和强制政策,SDL的核心理念就是将安全考虑集成在软件开发的每一个阶段:需求分析、设计、编码、测试和维护。从需求、设计到发布产品的每一个阶段每都增加了相应的安全活动,以减少软件中漏洞的数量并将安全缺陷降低到最小程度。...转载 2022-08-07 21:44:00 · 1678 阅读 · 1 评论 -
静态代码审计之SQL注入(java)
三种不同框架类型的SQL JDBC--sql注入 Hibernate--sql注入 Mybatis、iBatis-- sql注入 SQL注入手工审计方法 步骤1:全局搜索“+”,找到存在+ 拼接的sql语句,查看参数是否有过滤,一般在DAO层 追溯上层函数,直到,doPost(HttpServletRequest request,HttpServletResponse response) 查看整个流程中,有没有过滤非法字符串,如果没有,则存在sql注入 找到..转载 2022-03-29 14:28:03 · 797 阅读 · 0 评论 -
免费好用的APP安全在线检测平台
免费好用的APP安全在线检测平台转载 2022-03-28 10:10:31 · 12510 阅读 · 0 评论 -
Centos版的Nodejsscan安装
前期准备:=================这边跟windows的准备工作基本一样:1. 下载源码:https://github.com/ajinabraham/NodeJsScan2.下载CentOS版docker toolbox:3.下载PostgreSQL安装详细步骤https://www.enterprisedb.com/downloads/postgres-postgresql-downloadshttps://www.pgadmin.org/user:postgres,pw:.原创 2020-06-24 11:17:19 · 712 阅读 · 1 评论 -
Fortify扫描漏洞解决方案
Fortify扫描漏洞解决方案:Log Forging漏洞:1.数据从一个不可信赖的数据源进入应用程序。在这种情况下,数据经由getParameter()到后台。2. 数据写入到应用程序或系统日志文件中。这种情况下,数据通过info()记录下来。为了便于以后的审阅、统计数据收集或调试,应用程序通常使用日志文件来储存事件或事务的历史记录。根据应用程序自身的特性,审阅日志文件可在必要...转载 2020-03-23 15:51:21 · 12689 阅读 · 1 评论 -
WEB安全之代码安全----ESAPI
ESAPI是owasp提供的一套API级别的web应用解决方案。简单的说,ESAPI就是为了编写出更加安全的代码而设计出来的一些API,方便使用者调用,从而方便的编写安全的代码其官方网站为:https://www.owasp.org/,其有很多针对不同语言的版本,其J2ee的版本需要jre1.5及以上支持安装篇第一步:引入JarMaven<dependency>...转载 2020-02-20 10:33:15 · 3431 阅读 · 0 评论 -
JAVA 代码安全规范
1输入验证和数据合法性校验程序接受数据可能来源于未经验证的用户,网络连接和其他不受信任的来源,如果未对程序接受数据进行校验,则可能会引发安全问题。1.1避免SQL注入1.1.1 使用PreparedStatement预编译SQL,解决SQL注入问题,传递给PreparedStatement对象的参数可以被强制进行类型转换,确保在插入或查询数据时与底层的数据库格式匹配。String...转载 2020-02-05 22:39:25 · 1020 阅读 · 0 评论