java 安全漏洞_安全漏洞之Java

最新推荐文章于 2024-07-28 16:31:07 发布
最新推荐文章于 2024-07-28 16:31:07 发布
阅读量1.1k 收藏
点赞数
文章标签: java 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30359591/article/details/114078146
版权
本文介绍了Java应用中常见的安全问题,包括反射型XSS、持久化XSS、DOM型XSS、文件路径泄露、资源未释放、双检锁问题、日志伪造、系统信息泄漏、开放重定向和竞态条件。提供了针对性的解决方案,如使用c:out转义、过滤非法字符、编写安全错误消息和验证输入路径等。
摘要由CSDN通过智能技术生成

https://blog.csdn.net/ru_li/article/details/79915948

1.跨站脚本攻击

(1)Cross-Site Scripting(XSS):Reflected:jsp取值漏洞,使用c:out转义

var params_rf = "";

var params_rf = "";

Cross-Site Scripting: Persistent、Cross-Site Scripting: DOM

2.File Disclosure:使用的是由未经验证的输入创建的路径

过滤路径中的特殊字符,或者路径不让用户输入,在配置文件中配置相关路径

3.Unreleased Resource: Streams

资源未释放,一般在try中创建资源,finally中释放资源

4.Double-Checked Locking

5、Log Forging:

最直接的方法就是删除漏洞的日志打印,但删除后,项目上线一旦出现故障,就无法通过查日志定位问题所在,所以这个方法可行但后期维护不方便;另外一个方法就是封装一个打印日志的公共类,但这种方法也只是能够降低漏洞数量,无法解决这个漏洞;最号就是要过滤掉非法字符:

public static String validLog(String log) {

List list = new ArrayList();

list.add("%0d");

list.add("\r");

list.add("%0a");

list.add("\n");

String encode = Normalizer.normalize(log, Normalizer.Form.NFKC);

for (int i = 0; i < list.size(); i++) {

encode = encode.replace(list.get(i), "");

}

return encode;

}

6、System Information Leak:External 系统信息泄漏

情况:

PrintWriter out = resp.getWriter(); try {

...

} catch (Exception e) { out.write(e.getMessage()); } }

解决:

编写错误消息时,始终要牢记安全性。尽量自己编写错误信息,不要直接把系统错误回显到客户端。

7、Open Redirect

参见:https://www.cnblogs.com/meInfo/p/9037547.html

8、Race Condition: Singleton Member Field

将成员变量修改成局部变量

9、Path Manipulation

加入以下验证(尚未校验)

HashMap map = new HashMap();

map.put("a", "a");

map.put("b", "b");

map.put("c", "c");

map.put("d", "d");

map.put("e", "e");

map.put("f", "f");

map.put("g", "g");

map.put("h", "h");

map.put("i", "i");

map.put("j", "j");

map.put("k", "k");

map.put("l", "l");

map.put("m", "m");

map.put("n", "n");

map.put("o", "o");

map.put("p", "p");

map.put("q", "q");

map.put("r", "r");

map.put("s", "s");

map.put("t", "t");

map.put("u", "u");

map.put("v", "v");

map.put("w", "w");

map.put("x", "x");

map.put("y", "y");

map.put("z", "z");

map.put("A", "A");

map.put("B", "B");

map.put("C", "C");

map.put("D", "D");

map.put("E", "E");

map.put("F", "F");

map.put("G", "G");

map.put("H", "H");

map.put("I", "I");

map.put("J", "J");

map.put("K", "K");

map.put("L", "L");

map.put("M", "M");

map.put("N", "N");

map.put("O", "O");

map.put("P", "P");

map.put("Q", "Q");

map.put("R", "R");

map.put("S", "S");

map.put("T", "T");

map.put("U", "U");

map.put("V", "V");

map.put("W", "W");

map.put("X", "X");

map.put("Y", "Y");

map.put("Z", "Z");

map.put(":", ":");

map.put("/", "/");

map.put("\\", "\\");

String temp = "";

for (int i = 0; i < path.length(); i++) {

if (map.get(path.charAt(i)+"")!=null) {

temp += map.get(path.charAt(i)+"");

}

}

path = temp;

File proFile = new File(path);

希辰Xichen
关注
Java代码弱点与修复之——Open redirect(开放重定向)
oscar999的专栏
03-03 1874
Open redirect , 开放重定向,是一种常见的安全漏洞,也被称为“重定向漏洞”。该漏洞通常出现在 Web 应用程序中,攻击者可以利用它将用户重定向到恶意站点,从而进行钓鱼攻击、恶意软件传播、诱骗等活动。
Java安全编码规范之Web安全漏洞
echohuangshihuxue的博客
11-29 886
当公司访问量增大,自然而然就会遇到网络攻击了,同时也会需要考虑如何规范代码编写来规避这些漏洞攻击。如果你在开发中还没有遇到过,或者说还没有思考过这些问题,可以通过这篇文章多了解下 现在的攻击是多么的厉害。同时我们在编码的时候就可以多注意一些了
java 漏洞挖掘_挖JAVA_web网站漏洞,代码审计入门
weixin_39774808的博客
02-13 500
底层漏洞:1. 查看该系统所用框架:Struts2的相关安全:(1) 低版本的struts2,低版本的Struts2存在很多已知的版本漏洞。一经使用,很容易造成比较大的危害。(2) 开启 Struts2的动态调用方法,现在发现的如s2-033 ,s2-032等漏洞,都是由于系统开启了动态调用方法,导致远程代码执行。(3) 在jsp页面中使用Struts2的ognl表达式传输数据。(4) 开...
Java中的安全漏洞检测与防护
最新发布
微赚淘客系统开发者博客
07-28 940
大家好,我是微赚淘客系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!本文将深入探讨 Java 中的安全漏洞检测与防护方法,介绍常见的安全漏洞、检测工具以及防护策略,帮助开发者提高系统的安全性。OWASP Dependency-Check 是一个开源工具,用于检测项目中使用的第三方库是否存在已知的安全漏洞。Fortify 是一个商业化的静态应用安全测试 (SAST) 工具,可以识别源代码中的安全漏洞。定期检查和更新项目中的第三方库,修复已知的安全漏洞。始终验证和清理用户输入,防止恶意数据进入系统。
Cross-Site Scripting: Persistent XSS 漏洞修复笔记
dazhong2012的专栏
03-14 1万+
最近,项目工程进行 代码安全扫描 的过程中产生了一个 XSS 相关的bug,在此记录解决办法,和大家分享。 一.问题描述 漏洞扫描过程中报下面缺陷信息,大致意思是说 由于页面在接收参数的过程中,没有进行参数的校验,可能存在 参数中存在可执行代码的漏洞。 Cross-Site Scripting: Persistent Critical Package: /WEB-INF/views/xx xx-w...
java安全漏洞靶场构建文件
07-05
Java安全漏洞靶场构建文件 本资源主要介绍了如何构建一个 Java 安全漏洞靶场,旨在帮助开发者和安全测试人员了解 Java 应用程序中的安全漏洞。该靶场构建文件提供了详细的步骤和环境配置信息,涵盖了 JDK、Tomcat、...
java编程 网络安全漏洞_Java编程安全漏洞之:不信任用户可控数据
weixin_30436581的博客
02-17 1723
Trust_Boundary_Violation违反信任边界,用户可控的数据被缓存到可信容器中。修复建议若无必要或可降低可信度存放,最好不要把非可信数据缓存到可信容器中。在存放之前对数据合法性进行校验。只有HttpSession和HttpServletContext被认为是可信容器。Unchecked_Input_for_Loop_Condition可输入的循环条件未作检查,用户可控的数据被作为循...
关于java安全的程序和文档.rar_java security_java 安全_key
09-24
12. **代码审查和审计**:为了确保代码的安全性,定期进行代码审查和安全审计是必要的,以发现潜在的安全漏洞。 通过阅读"The Key to Security.txt"和"www.pudn.com.txt"中的内容,开发者可以深入了解上述知识点的...
java dwr 漏洞_实战渗透-基于DWR框架下的漏洞探测
weixin_34878397的博客
02-26 4731
前言未经授权,禁止转载!0x01前段时间,在对某站群系统进行代码审计时,发现某处DWR-AJAX接口存在文件上传漏洞代码层:public String upload(InputStream is, String fileName) {String fileUploadPath = getFileUploadPath();String file = String.valueOf(fileUpload...
Fortify漏洞之Path Manipulation(路径篡改)
arkqyo2595的博客
05-09 4666
  继续对Fortify的漏洞进行总结,本篇主要针对Path Manipulation(路径篡改)的漏洞进行总结,如下: 1、Path Manipulation(路径篡改) 1.1、产生原因: 当满足以下两个条件时,就会产生 path manipulation 错误: 1. 攻击者可以指定某一文件系统操作中所使用的路径。 2. ...
Fortify漏洞之 Path Manipulation 路径篡改问题解决笔记
热门推荐
dazhong2012的专栏
03-15 4万+
在文件上传中,代码扫描会产生 路径篡改(Path Manipulation)的缺陷,今天总结一下该问题的产生原因及解决方法。 一.问题描述 在使用 Fortify 扫描项目时,产生如下缺陷,该问题是说 使用如下代码: request.getParameter(“bizId”) 直接作为上传文件名称组成字段时会产生 路径篡改 FileRelation relation = fileRelation...
解决fortify扫描出的Path Manipulation问题(java语言)
wypdao的专栏
03-04 3万+
编写java打码如下: 。。。 File proFile = new File(path); 。。。   使用fortify扫描,会报一个Path Manipulation的漏洞,怎么解决呢?看下面代码: HashMap map = new HashMap();   map.put("a", "a");   map.put("b", "b");   map.put("c", "c
使用fortify 扫描出的HeaderManipulation的漏洞.
weixin_42998692的博客
10-24 5997
使用fortify 扫描出的HeaderManipulation的漏洞. HTTP响应截断:数据包含在一个 HTTP 响应头文件里,未经验证就发送给了 Web 用户。 HTTP 响应头文件中包含未验证的数据会引发 cache-poisoning、cross-site scripting、cross-user defacement、page hijacking、cookie manipulation...
Java防御路径操作(Path Manipulation) 的正确姿势
oscar999的专栏
01-11 6723
本篇介绍在 Java应用中如何防御路径操作(Path Manipulation)的攻击。
XSS跨站脚本攻击(Cross-site scripting)
qq_49841288的博客
07-24 1407
通过网页开发时,对用户输入信息过滤不足,将恶意代码注入网页中。恶意代码通常是JavaScript,但也包括Java、VBScript、ActiveX、Flash或者普通的HTML。因特网的可用资源通过简单字符串来表示,这些字符串被称作URL(统一资源定位器)。DOM是一种与平台、语言无关的应用程序接口(API)它可以动态地访问程序和脚本,更新其内容、结构和www文档的风格(HTMl和XML文档是通过说明部分定义的)。文档可以进一步被处理,处理的结果可以加入到当前的页面。......
XSS (Cross-Site-Scripting)笔记
收集盒 Book box
03-28 913
Michael Cross-Site-Scripting也称跨站脚本攻击,缩写通常为XSS. 或者先到这里补充下知识:http://en.wikipedia.org/wiki/Cross-site_scripting 由于工作需要最近在研究一些常用的攻击方式和漏洞,用以预防和修复.如果你还没有听过说这些,可能你需要先阅读下以下的内容以帮助你快速进入状态。 XSS主要可分
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值