漏洞喜欢隐藏在复杂性中,因此在不牺牲功能的情况下使代码尽可能简单。使用成熟的设计原则(例如DRY)(不要重复),将帮助您编写更易于查看问题的代码。
始终在代码中公开尽可能少的信息。隐藏实施细节支持可维护和安全的代码。这三个技巧将大大有助于编写安全的Java代码:
- 充分利用Java的访问修饰符。知道如何为类,方法及其属性声明不同的访问级别将大大保护代码。可以设为私有的所有内容都应该为私有的。
- 避免反射。在某些情况下,应该使用这种高级技术,但是在大多数情况下,您应该避免使用它们。使用反射消除了强类型,而强类型可能会给您的代码带来弱点和不稳定性。将类名与字符串进行比较很容易出错,并且很容易导致名称空间冲突。
- 始终定义尽可能小的API和界面。解耦组件并使它们在尽可能小的区域内交互。即使应用程序的某个区域感染了漏洞,其他区域也将是安全的。
Java安全性规则2:避免序列化
这是另一个编码技巧,但重要的是要成为一个规则。 序列化接受远程输入,并将其转换为完全赋值的对象。 它省去了构造函数和访问修饰符,并允许未知数据流成为JVM中的运行代码。 结果,Java序列化在本质上是不安全的。
尽可能避免在Java代码中进行序列化/反序列化。 相反,请考虑使用JSON或YAML之类的序列化格式。 永远不要公开接收并作用于序列化流的不受保护的网络端点。
Java安全规则#3:永远不要公开未加密的凭证
很难相信,但是这种可避免的错误会导致年复一年的痛苦。
当用户在浏览器中输入密码时,密码将以纯文本格式发送到服务器。那应该是它最后一次出现。我们必须先通过单向密码对密码进行加密,然
最低0.47元/天 解锁文章
1002
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
