JAVA的编码安全注意事项及一些安全问题规避措施

最新推荐文章于 2024-02-06 15:01:17 发布
最新推荐文章于 2024-02-06 15:01:17 发布
阅读量1.9k 收藏 6
点赞数 7
分类专栏: 编码安全 文章标签: java编码规范 代码安全问题 java安全 java安全编码 编码=安全问题预防
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013159360/article/details/94592341
版权

编码安全问题规避

1.参数要做校验:

  • 验证所有的从不信任的数据源来的输入,默认其为不安全的数据,不仅要验证类型,也要验证参数长度值范围
  • 尽量使用白名单不使用黑名单
  • 所有客户端验过得参数,在服务器端要在验一遍

2.禁止日志及异常中打印敏感信息

  • 要注意日志信息info、wran、error级别的控制,禁止打印明文密码、身份证号等证件号码、系统敏感信息、姓名、电话号码等

3.用完的临时文件要及时删除

  • 例如:临时上传的测试文件等

4.用完的调试代码要及时删除

  • 例如:代码调试时的main方法、为方便查看日志时加的多余的日志打印、业务代码中加的UT

5.禁止使用弱加密算法

参考:

加密算法的安全级别(Security Level of Cryptographic Algorithms)

安全级别 
(Security Level)

工作因素 
(Work Factor)

算法 
(Algorithms)

薄弱(Weak)

O(240)

DESMD5

传统(Legacy)

O(264)

RC4SHA-1

基准(Baseline)

O(280)

3DES

标准(Standard)

O(2128)

AES-128SHA-256

较高(High)

O(2192)

AES-192SHA-384

超高(Ultra)

O(2256)

AES-256SHA-512

6.防止注入攻击

  • 例如XML攻击、SQL注入攻击等

7.禁止代码中存在硬编码

  • 例如将URL直接写在业务代码里,应该学会定义成员变量,常用的数据可以定义到Common类中,整个包都可以引用

8.使用强的随机数字生成器

  • 例如不适用Random生成伪随机数,可以SecurityRandom等,或改用UUID,时间戳等

9.对于传输的敏感数据,做到先签名,再加密
10.充分的异常管理

  • 异常抛出时做到准确、精细、可控,防止接口处异常吞掉业务深处的异常信息。

11.代码简单易读,可以有效的解决问题。

  • 尽量做到clean code的标准(《代码简洁之道》《阿里巴巴编码规范》这一类的编码规范类书籍可以借鉴一下)

12.注意编译器警告。

  • 编译时,用最高的告警级别,并且清除所有的警告。
  • 使用好的编程习惯避免这些错误的发生。
  • 用工具辅助贯彻落实编码(CheckStyle、FindBug、CodeDEX、PMD等)

13.坚持最小权限原则。
14.使用有效的质量保证技术。

  • 单元测试、测试覆盖率
  • 异常数据测试、Fuzz测试
  • 自动化代码扫描工具、自动化漏洞扫描工具
  • 人工代码审查
Ursus丶
关注
  • 7
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java序列化的安全问题
qq_29827369的博客
03-27 1497
如果一个函数或者对象,不管它位于多么遥远的地方,都可以在本地直接被调用,那该有多好 呀!这是一个非常朴素、美好的想法。基于这个设想,诞生了很多伟大的技术和协议,比如远程 过程调用(RPC)、远程方法调用(RMI)、分布式对象(Distributed Object)、组件对象模 型(COM)、公共对象请求代理(CORBA)和简单对象访问协议(SOAP)等……这个列表还可 以很长很长。...
java初学者大礼包
10-27
这份大礼包聚焦于学习资料和注意事项,旨在帮助初学者快速掌握Java编程的基础,并且规避在学习过程中可能遇到的常见问题。 首先,让我们深入探讨一下Java编程的基础知识。Java是一种面向对象的编程语言,由Sun ...
编码过程中需要注意哪些安全问题
白T
08-27 208
利用 SecurityManger 机制和相关的组件,限制代码的运行时行为能力,其中,你可以定制 policy 文件和各种粒度的权限定义,限制代码的作用域和权限,例如对文件系统的操作权限,或者监听某个网络端口的权限等。我认为,从 Java 语言的角度,更加需要重视的是程序级别的攻击,也就是利用 Java、JVM 或应用程序的瑕疵,进行低成本的 DoS 攻击,这也是想要写出安全Java 代码所必须考虑的。所以可以看出,实现安全Java 代码,需要从功能设计到实现细节,都充分考虑可能的安全影响。
编码注意事项
阿呆
03-25 386
1、默认值 1、默认值的问题主要体现在以下几个场景 局部变量。由于局部变量不会在声明时被初始化,因此它的值也是未知的,如果不对它初始化,那结果显然是未知的 函数出参、返回值。对于有返回值的函数,无论是否完整走完内部逻辑、亦或是因缺失不必要条件而同样完整走完内部逻辑(比如读文件时文件不存在依然会创建文件),都应该有一个表示"计算过程"的默认值,当然这个值应正确代表逻辑执行的情况 ...
序列化进阶1-Java序列化注意事项
H_Rhui的博客
06-16 358
上一篇小作文,我们介绍了什么是序列化 认识序列化。下面我们谈一谈,Java 序列化的注意事项。静态变量不能被序列化。序列化保存的是对象状态,静态变量保存的是类状态,因此序列化并不保存静态变量。transient 关键字的作用是阻止变量的序列化,变量声明时加上该关键字,变量将不再是对象持久化的一部分,该变量内容在序列化后无法被访问,即反序列化后,transient变量的值被设为初始值,如 int 类型的是 0,对象类型的是 nulltransient关键字只能修饰变量,而不能修饰方法和类。本地变量是不能被tr
凯撒密码
weixin_43723935的博客
10-03 6839
为了防止信息被别人轻易窃取,需要把电码明文通过加密方式变换成为密文。输入一个以回车符为结束标志的字符串(少于80个字符),再输入一个整数offset,用凯撒密码将其加密后输出。恺撒密码是一种简单的替换加密技术,将明文中的所有字母都在字母表上偏移offset位后被替换成密文,当offset大于零时,表示向后偏移;当offset小于零时,表示向前偏移。 输入格式: 输入第一行给出一个以回车结束的非空字符串(少于80个字符);第二行输入一个整数offset。 输出格式: 输出加密后的结果字符串。 输入样
常见21种漏洞编码安全规范及解决方案
weixin_44185213的博客
08-20 5541
常见21种漏洞编码安全规范
阿里巴巴Java开发手册终极版v1.3.0.zip
08-19
这份手册详细列出了Java开发过程中的最佳实践、常见问题以及规避策略,旨在帮助开发者遵循一致的编码标准,减少潜在的技术债务。 手册内容涵盖以下几个核心部分: 1. **基础规范**:这部分主要强调了Java语言的...
JAVA学习书籍两部
05-16
手册详细规定了Java编码的规则、最佳实践和注意事项,涵盖了基础语法、异常处理、集合使用、并发编程、IO/NIO、数据库操作等多个方面。遵循这本手册,开发者可以提升代码质量,降低维护成本,同时也提高了团队间的...
FFmpeg开源项目移植到Android的研究.pdf
09-21
本文主要探讨了如何将FFmpeg移植到Android操作系统上,并提供了移植过程中的注意事项和实践经验。 首先,移植FFmpeg到Android涉及的关键步骤包括: 1. **环境配置**:在Windows、Linux或macOS等平台上搭建交叉编译...
apktool文件包
08-02
**五、注意事项** - 在使用apktool时,确保所有涉及的文件路径不含中文字符,以防出现编码问题。 - 重新打包后的APK可能需要与原始的签名证书一致,否则在设备上可能会提示“应用未安装”。 - 对APK进行反编译和修改...
每个开发人员都应该知道的 10 大安全编码实践
yz_weixiao的博客
02-20 438
所以你有它。这是每个开发人员都应该知道的十种安全编码实践。它们一起可以减少错误并保护你的系统免受恶意活动的侵害。通过遵循这些约定,你可以帮助确保代码安全、保护你的公司并减少被攻击者利用的机会。
20条常见的编码陷阱
ylh2003的专栏
11-19 2071
摘要:在平时的编程工作中,大多数程序员很少会关心细节问题,本文作者跨越多个语言,为大家总结了20条常规陷阱,并提供了很好的解决方案,供大家参考学习。 不管你现在的编程技能有多么的高超,曾经你也是个亦步亦趋,不断的学习的初学者。在编程这条曲折的道路上,我想你肯定犯过一些低级的错误、遇见过一些普通的编码陷阱。本文作者跨越多个语言,为大家总结了20条常规陷阱,并提供了解决方案。 JavaS
Java安全和防护:如何保护Java应用程序和用户数据的安全
baidu_38876334的博客
05-24 1434
通过身份验证和授权、输入验证和数据过滤、安全的数据存储和传输以及安全漏洞扫描和漏洞修复等措施,我们可以增强Java应用程序的安全性,并保护用户数据不受攻击和泄露的威胁。在Java中,可以使用各种身份验证机制,如基于表单的身份验证、基于令牌的身份验证和基于OAuth的身份验证。在Java中,可以使用各种身份验证机制,如基于表单的身份验证、基于令牌的身份验证和基于OAuth的身份验证。定期更新和升级依赖库和框架:保持应用程序的依赖库和框架处于最新的安全版本,以修复已知的漏洞和弱点。
编码安全风险是什么,如何进行有效的防护
最新发布
HoewDec的博客
02-06 1775
2011年6月28日晚20时左右,新浪微博突然爆发XSS,大批用户中招,被XSS攻击的用户点击恶意链接后并自动关注一位名为HELLOSAMY的用户,之后开始自动转发微博和私信好友来继续传播恶意地址。是具有防注入、XSS过滤等功能。5.引入安全编码标准和工具:遵循安全编码标准和最佳实践,使用安全编码工具,如静态代码分析工具、动态分析工具等,自动检测并修复潜在的安全漏洞。防注入:检测SQL关键字、特殊符号、运算符、操作符、注释符的相关组合特征,并进行匹配,全面防护SQL注,如:盲注、报错注入、堆叠注入。
Java编码指南:编写安全可靠程序的75条建议》—— 指南7:防止代码注入
weixin_34080571的博客
05-02 413
本节书摘来异步社区《Java编码指南:编写安全可靠程序的75条建议》一书中的第1章,第1.7节,作者:【美】Fred Long(弗雷德•朗), Dhruv Mohindra(德鲁•莫欣达), Robert C.Seacord(罗伯特 C.西科德), Dean F.Sutherland(迪恩 F.萨瑟兰), David Svoboda(大卫•斯沃博达),更...
java软件攻击
yushan125的博客
03-23 676
java软件攻击
代码整洁之道第七章:错误处理
zhangyunfeihhhh的博客
05-11 298
代码开发过程中,由于大量的错误处理代码和正常的业务处理逻辑代码交杂在一起,导致代码凌乱不堪,逻辑不清,错误处理很重要,但是如果错误处理代码扰乱了代码逻辑,那这样本身就是错误的。本章主要讲述了如何雅致地处理错误代码的一些技巧和思路。 1.使用异常而非错误代码 以前,在处理错误时,要么设置一个错误标识,要么返回给调用者检查的错误码,但这会严重搞乱调用者代码,调用者必须在调用之后即可检查错误,但这个步骤很容易被遗忘,所以,遇到错误的时候,最好抛出一个异常,由上层代码捕获异常,统一处理,这样就可以很好的将错误
华为java安全编码规范_java安全编码指南之:基础篇
weixin_39862847的博客
12-02 1411
简介:作为一个程序员,只是写出好用的代码是不够的,我们还需要考虑到程序的安全性。在这个不能跟陌生人说话世界,扶老奶奶过马路都是一件很困难的事情。那么对于程序员来说,尤其是对于开发那种对外可以公开访问的网站的程序员,要承受的压力会大很多。 任何人都可以访问我们的系统,也就意味着如果我们的系统不够健壮,或者有些漏洞,恶意攻击者就会破门而入,将我们辛辛苦苦写的程序蹂躏的体无完肤。 所以,安全很重要,...
JAVA安全编码实践:防止SQL注入
"JAVA安全编码手册讨论了关于Java编程中的安全问题,特别是SQL注入,这是一种常见的安全漏洞。" 在Java编程中,安全编码是至关重要的,因为它有助于防止恶意攻击者利用代码中的漏洞来操纵系统或窃取敏感信息。SQL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值