Java - Java开发中的安全编码问题

最新推荐文章于 2023-05-17 17:47:24 发布
最新推荐文章于 2023-05-17 17:47:24 发布
阅读量1.4k 收藏
点赞数
分类专栏: java 文章标签: java 数据库
建模
本文链接:https://blog.csdn.net/shooopw/article/details/105869018
版权

目录

1 - 输入校验

编码原则:针对各种语言本身的保留字符,做到 数据与代码相分离 。

1.1 SQL 注入防范

严重性高,可能性低。

(1) 参数校验,拦截非法参数(推荐白名单):

public String sanitizeUser(String username) {
    return Pattern.matches("[A-Za-z0-9_]+", username)
        ? username : "unauthorized user";
}

(2) 使用预编译:

String sql = "UPDATE EMPLOYEES SET SALARY = ? WHERE ID = ?";
PreparedStatement statement = conn.prepareStatement(sql);
statement.setBigDecimal(1, 285500.00);
statement.setInt(2, 30015800);

1.2 XSS防范

严重性中,可能性高。防范方法有:

(1) 输入输出校验(推荐白名单);

(2) org.apache.commons.lang 工具包处理;

(3) 富文本可用 owasp antisamp 或 java html sanitizer 处理;

(4) ESAPI 处理:

// HTML 实体
ESAPI.encoder().encodeForHTML(data);

// HTML 属性
ESAPI.encoder().encodeForHTMLAttribute(data);

// JavaScript
ESAPI.encoder().encodeForJavaSceipt(data);

// CSS 
ESAPI.encoder().encodeForCSS(data);

// URL
ESAPI.encoder().encodeForURL(data);

1.3 代码注入/命令执行防范

严重性高,可能性低。

(1) 参数校验,拦截非法参数(推荐白名单);

(2) 不直接执行用户传入参数:

if("open".equals(request.getParameter("choice"))) {
    Runtime.getRuntime().exec("your command...");
}

(3) 及时更新升级第三方组件:

比如Struts、Spring、ImageMagick等。

1.4 日志伪造防范

严重性低,可能性高。

(1) 不要log用户可控的信息;

(2) 输入参数校验(推荐白名单):

// 处理回车、换行符
Pattern p = Pattern.compile("%0a|%0d0a|\n|\r\n");
Matcher m = p.matcher(data);
dest = m.replaceAll("");
最低0.47元/天 解锁文章
虞山谵语
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
怎么理解StringBuffer线程安全,StringBuilder线程不安全
从此不在404的博客
05-17 2431
首先要明白两个概念,线程安全与线程不安全。 线程安全:就是多线程访问时,采用了锁机制,当一个线程访问该类的某个数据时,进行保护,其他线程不能进行访问直到该线程读取完,其他线程才可使用。不会出现数据不一致或者数据污染(脏读等) 考虑一个场景,A和B两个线程同时操作缓存的一条数据,A线程对数据进行自加处理,B线程对数据进行校验,如果校验不过,就清除数据。 非线程安全:就是不提供数据访问保护,有可能...
Springboot项目解决日志伪造笔记
qq_53121751的博客
09-03 941
Springboot项目解决日志伪造笔记
可信科目二0517
qq_51581562的博客
05-17 1300
4.下列哪个场景可以使用java.util.Random类产生的随机数。13.常见的xml实体解析导致的安全风险有哪几种?15.输入校验不可以防止以下哪种漏洞?
PoweMock集成Spring-test 测试静态方法 禁用字节码验证 -noverify -XX:-UseSplitVerifier
lxlmycsdnfree的博客
10-13 1808
问题 我们使用Spring-test的时候使用如下的代码 @RunWith(SpringJUnit4ClassRunner.class) @ContextConfiguration(locations={"classpath:springmvc-servlet-test.xml", "classpath:application-context-datasource-test.xml",
Buffer几个常用方法比较
yamaxifeng_132的专栏
10-28 1152
buffer几个常用方法的比较 mark position limit capacity init(初始化) -1 0 mark(标记) mark = position reset(重置) position = mark clear(清除) -...
java代码-使用java解决文参数乱码问题的源代码
04-09
java代码-使用java解决文参数乱码问题的源代码 ——学习参考资料:仅用于个人学习使用!
java-使用java开发的代码助手codetool
最新发布
01-16
Codetool是一款基于Java开发的代码辅助工具,旨在简化Java开发过程的许多繁琐工作。它集成了多种实用功能,如代码生成、自动完成、错误检查、重构支持等,帮助程序员快速编写和维护高质量的代码。 2. 主要功能 -...
MySQL-connector-java-8.0.28
04-20
在实际开发,为了简化数据库连接管理,通常会使用像Apache DBCP、C3P0 或 HikariCP 这样的连接池库,它们可以帮助管理和复用数据库连接,进一步提升应用性能。 总之,MySQL-connector-java-8.0.28是Java开发者...
java文乱码之解决URL文乱码问题方法
09-02
Java开发,遇到文乱码问题是一种常见的挑战,特别是在处理URL时。URL文乱码问题主要是由于URL编码和解码过程的不一致导致的。下面将详细介绍如何解决这个问题,并探讨几种常用的方法。 首先,我们需要...
Java安全开发编码实践.pdf
10-29
Java安全编码实践是软件开发的一个关键领域,旨在预防攻击者利用漏洞进行恶意活动。Java平台及第三方库提供了丰富的安全特性来支持安全编码,但如果不正确地使用这些特性,可能会导致开发者耗费大量时间和精力,...
为什么StringBuilder线程不安全,StringBuffer线程安全
codingisforlife的博客
08-31 6248
StringBuilder和StringBuffer的内部实现跟String类一样,都是通过一个char数组存储字符串的,不同的是String类里面的char数组是final修饰的,是不可变的,而StringBuilder和StringBufferchar数组是可变的。 关于线程安全问题就要看他们的jdk源码了。 1. StringBuilder 我们直达app...
java charbuffer_Java的ByteBuffer asCharBuffer()方法
weixin_39757739的博客
03-04 170
可以使用asCharBuffer()类java.nio.ByteBuffer方法将ByteBuffer的视图创建为CharBuffer 。此方法不需要任何参数,并且根据需要返回一个char缓冲区。该缓冲区反映了对原始缓冲区所做的更改,反之亦然。演示此的程序如下所示-示例importjava.nio.*;importjava.util.*;publicclassDemo{public...
Buffer透视:duplicate(),slice()等
limeOracle的博客
09-19 2460
NIO提供了多种方法来创建一个与给定缓冲区共享内容的新缓冲区,这些方法对元素的处理过程各有不同。基本上,这种新缓冲区有自己独立的状态变量(position,limit,capacity和mark),但与原始缓冲区共享了同一个后援存储空间。任何对新缓冲区内容的修改都将反映到原始缓冲区上。可以将新缓冲区看作是从另一个角度对同一数据的透视。表5.4列出了相关的方法。 duplicate()方法用于创建...
CWE-117日志伪造漏洞
weixin_44689968的博客
04-14 1966
CWE-117日志伪造漏洞 1.日志伪造 当日志条目包含未经过授权的用户输入时,会造成日志伪造。攻击者可以通过向应用程序提供包含特殊字符的内容,在日志文件插入错误的条目。当日志文件自动处理时会将恶意条目写入日志文件,错误的日志条目会破坏文件格式,可以由此掩盖攻击者的入侵轨迹。或者通过回车符和换行符构造输入,将合法的日志条目进行拆分。 2.日志伪造的危害 利用该漏洞可以跨越信任边界获取敏感数据,攻击者将脚本注入日志文件,在使用 Web 浏览器查看文件时,浏览器可以向攻击者提供管理员 Cookie 的
windows日志的保护与伪造
12-29 953
转自安全网 日志对于系统安全的作用是显而易见的,无论是网络管理员还是黑客都非常重视日志,一个有经验的管理员往往能够迅速通过日志了解到系统的安全性能,而一个聪明的黑客往往会在入侵成功后迅速清除掉对自己不利的日志。下面我们就来讨论一下日志的安全和创建问题。     一:概述:Windows2000的系统日志文件有应用程序日志,安全日志、系统日志、DNS服务器日志等等,应用程序日志、安全日志
Buffer类的详解(转)
ahu6741的博客
05-10 2060
这篇蚊帐转自:http://zachary-guo.iteye.com/blog/1457542,作者写的非常好,是我看到的写nio最好的几篇蚊帐,但原文有一些错误,还有我自己对这方面的一些理解,在这里一并更改了。 Buffer 类是 java.nio 的构造基础。一个 Buffer 对象是固定数量的数据的容器,其作用是一个存储器,或者分段运输区,在这里,数据可被存储并在之后用于检索...
javaCharSequence接口
热门推荐
人生百年几今日,今日不为真可惜。
08-12 2万+
最近在学习Android但是在学习过程发现CharSequence这个数据类型,自己真的是不了解,在上网找了找,原来这是一个接口:在JDK1.4,引入了CharSequence接口,实现了这个接口的类有:CharBuffer、String、StringBuffer、Strin
java安全--字节码校验
shareing
03-17 6462
1.先来了解下字节码校验在类加载流程的位置        当类加载器将新加载的Java平台类的字节码传递到虚拟机时,这些字节码首先要接受校验器的校验。校验器负责检查那些无法执行的明显有破坏性的操作。除了系统类之外,其他类都要被校验。2.字节码校验器主要做的事情变量要在使用之前进行初始化方法调用与对象引用类型之前要匹配访问私有数据和方法的规则没有被违背对本地变量的访问落在运行时堆栈内运行时堆栈没有...
Java Web开发文乱码问题及解决方案
Java Web开发开发者经常会遇到各种问题,其文乱码问题是较为常见的一个。这个问题主要源于Java和Web页面编码方式的不一致。Java默认使用Unicode编码,而HTML页面和表单通常采用ISO-8859-1编码,这对文...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值