java 安全库_java开发手册-安全规约

最新推荐文章于 2023-02-17 10:53:57 发布
最新推荐文章于 2023-02-17 10:53:57 发布
阅读量119 收藏
点赞数
文章标签: java 安全库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33648177/article/details/114584250
版权

1. 【强制】隶属于用户个人的页面或者功能必须进行权限控制校验。

说明:防止没有做水平权限校验就可随意访问、修改、删除别人的数据,比如查看他人的私信内容。

2. 【强制】用户敏感数据禁止直接展示,必须对展示数据进行脱敏。

说明:中国大陆个人手机号码显示为:137****0969,隐藏中间4位,防止隐私泄露。

3. 【强制】用户输入的SQL参数严格使用参数绑定或者METADATA字段值限定,防止SQL注入,禁止字符串拼接SQL访问数据库。

反例:某系统签名大量被恶意修改,即是因为对于危险字符 # --没有进行转义,导致数据库更新时,where后边的信息被注释掉,对全库进行更新。

4. 【强制】用户请求传入的任何参数必须做有效性验证。

说明:忽略参数校验可能导致:page size过大导致内存溢出

恶意order by导致数据库慢查询

缓存击穿

SSRF

任意重定向

SQL注入,Shell注入,反序列化注入

正则输入源串拒绝服务ReDoS

Java代码用正则来验证客户端的输入,有些正则写法验证普通用户输入没有问题,但是如果攻击人员使用的是特殊构造的字符串来验证,有可能导致死循环的结果。

5. 【强制】禁止向HTML页面输出未经安全过滤或未正确转义的用户数据。

6. 【强制】表单、AJAX提交必须执行CSRF安全验证。

说明:CSRF(Cross-site request forgery)跨站请求伪造是一类常见编程漏洞。对于存在CSRF漏洞的应用/网站,攻击者可以事先构造好URL,只要受害者用户一访问,后台便在用户不知情的情况下对数据库中用户参数进行相应修改。

7. 【强制】URL外部重定向传入的目标地址必须执行白名单过滤。

8. 【强制】在使用平台资源,譬如短信、邮件、电话、下单、支付,必须实现正确的防重放的机制,如数量限制、疲劳度控制、验证码校验,避免被滥刷而导致资损。

说明:如注册时发送验证码到手机,如果没有限制次数和频率,那么可以利用此功能骚扰到其它用户,并造成短信平台资源浪费。

9. 【推荐】发贴、评论、发送即时消息等用户生成内容的场景必须实现防刷、文本内容违禁词过滤等风控策略。

本文参考于《java开发手册》

版权声明:参考文章后编写,版权归站长和原作者所有,转载请标明出处

转载请注明:https://blog.grstudy.com/programming/note/81

飞旋暗灭
关注
阿里规约-Java开发手册 v-1.7.0(嵩山版).rar
12-24
《阿里规约-Java开发手册 v-1.7.0(嵩山版)》是阿里巴巴集团为Java开发者制定的一套专业、严谨的编程规范。这份手册涵盖了从代码风格、命名规则、异常处理、多线程、数据操作到系统设计等多个方面的最佳实践,...
阿里Java开发手册-黄山版
最新发布
10-25
《阿里Java开发手册-黄山版》是一份由Java社区爱好者共同智慧结晶的开发规范文档,旨在提高Java开发者的综合素质和软件质量。这份手册经过多次实战检验,并不断优化,形成了一个全面且系统的指导体系。手册主要涵盖...
java安全框架有哪些_Java框架安全
weixin_39990660的博客
02-12 1031
(一)Mybatis注入问题Mybatis是目前比较常用的ORM的框架,一般与SpringMVC框架整合较多,但使用不当会有SQL注入的风险。Mybatis里mapper中SQL语句的写法支持两种形式的占位符,一种是#{value}一种是${value}.使用#进行占位时,如:select * from admin where username='#{username}'内部实现是使用了JDBC预...
十款最出色的PHP安全开发中文详细介绍
u010422738的专栏
03-21 365
PHP入侵检测系统 PHP IDS(即PHP-入侵检测系统)是一套易于使用、结构良好、速度出色且专门面向PHP类Web应用程序的先进安全层。这套入侵检测系统既不提供任何缓和及杀毒机制,也不会对恶意输入内容进行过滤,其作用单纯为识别出攻击者们针对站点进行的恶意活动、并以大家需要的方式作出及时提醒。凭借着一整套经过实践检验及相当严格的过滤规则,该检测系统会针对任何攻击活动给出一个影响评级数值,从而帮助用
java 安全_国家信息安全漏洞
weixin_39667801的博客
02-24 189
参考网址来源:CONFIRM链接:https://help.ecostruxureit.com/display/public/UADCE725/Security+fixes+in+StruxureWare+Data+Center+Expert+v7.6.0来源:BID链接:http://www.securityfocus.com/bid/103817来源:GENTOO链接:https://secu...
java安全编程_如何在2020年用Java安全编程
07-10 363
java安全编程 与大多数Java开发人员交谈,他们会告诉您Java是目前最安全的编程语言。 但是,当然,他们会这么说。 事实是,尽管Java安全性方面比旧的语言(尤其是C和C ++)取得了长足的进步,但用Java编写的代码的漏洞级别取决于程序员遵循的最佳实践。 在当今的开发环境中尤其如此。 各种新的安全技术,黑客技术以及新颖的存储和加密形式,意味着许多人质疑Java安全性的旧确定性。...
java编码规范
m0_51458935的博客
09-14 275
java编码规范
IEC870-5-101.rar_ IEC870-5-101_101规约_IEC60870-5-101_IEC870-5-101
09-14
《IEC870-5-101规约详解》 IEC870-5-101,全称International Electrotechnical Commission(国际电工委员会)870-5-101,是电力系统自动化领域广泛应用的一种通信规约,主要用于远动设备与调度中心之间的数据交换。...
阿里Java开发手册- 前后端规约-20200803.zip
03-17
阿里Java开发手册是阿里巴巴集团为Java开发者制定的一套详尽的编程规范,旨在提升代码质量、提高团队协作效率,以及确保软件系统的稳定性和可维护性。这套规约涵盖了前后端开发的各个方面,对于任何Java开发者来说,...
lib60870-C.zip_104 c/c++_104规约_104规约客户端_IEC 60870-5-104_IEC101源代
07-15
跨平台的iec101和104规约源代码,支持api调用,提供服务器和客户端的例程。
Java 网络安全
编程开发相关技术学习
12-09 1480
DES算法是一种对称密码体制加密算法,为密码体制中的对称密码体制,其 明文按64位进行分组,密钥长64位,密钥是以56位参与DES运算,且第8、16、24、32、40、48、56、64位是校验位,分组后的明文组和56位的密钥按位替代或交换的方法形成密文组的加密方法。:RSA算法是一种使用不同的加密密钥与解密密钥,是由已知加密密钥推导出解密密钥在计算上是不可行的密码体制,其原理是根据数论,寻求两个大素数比较简单,而将它们的乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。
Java开发手册安全规约
了解➔熟悉➔掌握➔精通
04-25 331
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net 1. 【强制】隶属于用户个人的页面或者功能必须进行权限控制校验。 说明:防止没有做水平权限校验就可随意访问、修改、删除别人的数据,比如查看他人的私信 内容、修改他人的订单。 2. 【强制】用户敏感数据禁止直接展示,必须对展示数据进行脱敏。 说明:中国大陆个人手机号码显示为:158****9119,隐藏中间 4 位,防止隐私泄露。 3. 【强制】用户输
【腾讯】Java安全编程指南
清茶的博客
02-17 632
Java安全编程指南
Java安全架构概览
哎呦哥哥的博客
01-30 1万+
介绍 Java平台在设计的时候就着重与安全方面,在Java核心设计中,Java语言本身就是类型安全的,并且提供了自动垃圾收集机制,用于增强代码的健壮性,类在加载时需要被验证,用于保证只有合法的Java代码会被执行。 初始的Java平台创建了一个安全的运行环境,用于执行那些可能不被信任的代码,例如从公共网络上下载下来的Java applets。随着平台的成长以及部署范围的扩展,Java安全体系结
Java安全框架Shiro
lihangfu的博客
07-17 863
一、Shiro 为什么要用shiro: 1、项目中的密码是否可以明文存储? 2、是否任意访客,无论是否登录都可以访问任何功能? 3、项目中的各种功能操作,是否是所有用户都可以随意使用? 1.1 Shiro是什么 * Apache Shiro 是 Java 的一个安全框架。 * 对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。 * Shiro 可以帮助我们完成:认证、授权、加
java安全性和数据设计注意事项
java小王子的博客
07-09 2834
先说说数据设计的注意事项,最近一个项目中,数据表结构的设计都是由我来设计,在设计的过程中,并没有考虑到性能的因素,所以在规定字段类型的时候,为了省事把许多字段一律设置成varchar类型,varchar类型即为字符串类型,因为varchar类型确实很强大,什么东西都可以存,如果不考虑性能的话,这一个类型基本就可以满足日常的需求了,但是如果考虑到性能,那肯定不能全部用varchar!
java程序员必备第三方
java、c++、机器学习方向King
05-12 1857
几乎每个程序员都知道要“避免重复发明轮子”的道理——尽可能使用那些优秀的第三方框架或,但当真正进入开发时,我却经常发现他们有时并不知道那些轮子在哪里。最近,我在业余时间带几个年轻的程序员一起做了一个很小的商业项目,而在一起开发的过程中,我几乎在所有需要判断字符串是否为空的地方,看到了下面的代码: if(inputString == null || inputString.length == 0
Java第三方工具/包汇总
热门推荐
panrenlong的博客
02-03 4万+
一、科学计算或矩阵运算 科学计算包: JMathLib是一个用于计算复杂数学表达式并能够图形化显示计算结果的Java开源类。它是Matlab、Octave、FreeMat、Scilab的一个克隆,但完全采用纯Java实现。 JSci:Java 科学对象(JSci)开放源代码项目是 Durham(英国 Durham)大学粒子理论中心的三年级研究生 Mark Hale 创立的。JSci
编码规约安全规约
绣花针
03-25 1144
目录 一、强制 1.隶属于用户个人的页面或者功能必须进行权限控制校验 2.用户敏感数据禁止直接展示 3.用户输入的 SQL 参数严格使用参数绑定或者 METADATA 字段值限定 4.用户请求传入的任何参数必须做有效性验证 5.禁止向 HTML 页面输出未经安全过滤或未正确转义的用户数据 6.表单、AJAX 提交必须执行 CSRF 安全验证 7.在使用平台资源,譬如短信、邮件、电话...
深入解读阿里规约-Java开发手册v1.7.0嵩山版要点
资源摘要信息:"《阿里规约-Java开发手册 v-1.7.0(嵩山版)》是阿里巴巴集团针对Java开发领域的编码规范和技术指导手册。这份手册旨在为Java开发者提供一套统一的开发标准和最佳实践,以提高代码质量,降低维护成本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值