Java编程安全漏洞之:数据或系统信息安全

最新推荐文章于 2023-02-11 21:53:26 发布
最新推荐文章于 2023-02-11 21:53:26 发布
阅读量1.3k 收藏 2
点赞数
文章标签: java python web.xml
原文链接:https://my.oschina.net/u/3100849/blog/863754
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

Cleartext_Submission_of_Sensitive_Information

明文提交敏感数据,使用明文通信方式传输、提交敏感数据

修复建议

加密后再提交或使用加密的通信方式传输、提交敏感数据。

Use_of_Insufficiently_Random_Values

使用了不够随机的随机值

修复建议

使用足够随机的随机值,如使用java自带Random生成随机数,则可添加一定算法。

修复示例

如:

       public void Use_of_Insufficiently_Random_Values(){

              String rans = new Random().nextInt() + "";

       }

修复为:

       public void Use_of_Insufficiently_Random_Values_Fix(){

              String rans = new Random().nextDouble() + "";

       }

Use_of_a_One_Way_Hash_without_a_Salt

使用了没有添加盐值的单向散列函数

修复建议

添加盐值。

修复示例

如:

       public void Use_of_a_One_Way_Hash_without_a_Salt(){

              String text = "";

              String dtext = "";

              MessageDigest md = MessageDigest.getInstance("SHA");

              byte[] dbts = md.digest(text.getBytes());

              dtext = new String(dbts);

       }

修复为:

       public void Use_of_a_One_Way_Hash_without_a_Salt_Fix(){

              String text = "";

              String dtext = "";

              MessageDigest md = MessageDigest.getInstance("SHA");

              md.update(("" + new Random().nextDouble()).getBytes());

              byte[] dbts = md.digest(text.getBytes());

              dtext = new String(dbts);

       }

HttpOnlyCookies_In_Config

启用了Cookie功能。

修复建议

关闭Cookie功能,只有http协议使用。

修复示例

在web.xml中添加或设置如下属性:

       <session-config>

              <cookie-config>

                     <http-only>true</http-only>

              </cookie-config>

       </session-config>

External_Control_of_Critical_State_Data

程序在一个未经授权的用户可以访问的位置存储了与用户或软件本身相关的安全状态信息。

转载于:https://my.oschina.net/u/3100849/blog/863754

weixin_34025151
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java安全知识点详解:加密、认证、防护和漏洞扫描
06-19
Java安全涉及多个方面,包括加密和解密、安全认证和授权、安全通信和防护,以及安全漏洞扫描。本文将深入探讨这些关键知识点。 首先,加密和解密是信息安全的基础。对称加密,如DES和AES,使用相同的密钥进行加解密...
java信息安全开发_Java编程安全漏洞之:数据系统信息安全
weixin_40008135的博客
02-25 845
Cleartext_Submission_of_Sensitive_Information明文提交敏感数据,使用明文通信方式传输、提交敏感数据修复建议加密后再提交或使用加密的通信方式传输、提交敏感数据。Use_of_Insufficiently_Random_Values使用了不够随机的随机值修复建议使用足够随机的随机值,如使用java自带Random生成随机数,则可添加一定算法。修复示例如:pu...
Burpsuite入门之target模块攻防中利用
sechelper的博客
02-11 260
用来收集目标站点的更多资产;探测一些自动加载的接口,内容等
从2款源代码安全审计工具看Hash+Salt的密码保护
goldboar的专栏
02-08 5123
信息系统的密码(password)安全总是成为吸引你注意力的网络安全事件,如:某车票网上订票系统的密码被碰库了,从而有几十万人的个人信息被泄露。再如日前网络上由安全分析专家统计的密码使用习惯,“123456”等成常用密码成为人们常用的密码。那这些密码为什么能轻易被统计和碰库,还有更加严重的脱库呢?这其中一个原因是软件工程师设计的信息系统的密码存储使用明文,或者是使用不安全的密码保护方式。那如何来保
【悟空云课堂】第十六期:使用不安全的随机值漏洞(CWE-330: Use of Insufficiently Random Values)
Tianqi_Wukong的博客
01-20 1054
【悟空云课堂】第十四期:使用不安全的随机值漏洞 什么是使用不安全的随机值? 软件依赖于不可预测的数值使用了不充分的随机数导致的安全性降低。 **产生原因:**计算机是一种按照既定算法运行的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。 PRNG包括两种类型:统计学的PRNG和密码学的PRNG。统计学的PRNG可提供有用的统计资料,但其输出结果很容易预测,因此数据流容易复制。若安全性取决于生成数值的不可预测性,则此类型不适用。密码学的PRNG通过
信息安全技术:Java反序列化漏洞.pptx
11-01
Java反序列化漏洞信息安全领域中的一个重要议题,尤其在2015年,这个话题引起了广泛关注。当一个Java应用程序在处理不可信数据时,如果它进行了反序列化操作且未对用户可控的序列化代码进行适当的验证,那么攻击者...
java安全漏洞靶场构建文件
07-05
本资源主要介绍了如何构建一个 Java 安全漏洞靶场,旨在帮助开发者和安全测试人员了解 Java 应用程序中的安全漏洞。该靶场构建文件提供了详细的步骤和环境配置信息,涵盖了 JDK、Tomcat、MySQL 和 Ubuntu 20.04 等多...
基于Java Web的反序列化信息安全漏洞挖掘研究.pdf
最新发布
03-31
Java作为一种广泛应用的编程语言,因其跨平台性、多线程支持和强大的系统稳定性,被广泛用于开发Web应用程序。然而,随着技术的快速发展,一些潜在的安全隐患也随之暴露。 反序列化漏洞通常源于Java的序列化和反...
信息安全技术基础:命令注入漏洞简介.pptx
11-01
信息安全技术的基础领域,命令注入漏洞是一种常见的安全问题,它涉及到应用程序设计的不当,可能导致攻击者执行任意系统命令,对系统造成严重破坏。本文将深入探讨命令注入漏洞的概念、成因、危害以及防范措施。 ...
java代码审计手书(一)
一个码农的笔记
11-20 8083
翻译自:http://find-sec-bugs.github.io/bugs.htm 翻译:聂心明 可预测的伪随机数发生器 漏洞特征:PREDICTABLE_RANDOM 在某些关键的安全环境中使用可预测的随机数可能会导致漏洞,比如,当这个值被作为: csrf token;如果攻击者可以预测csrf的token值的话,就可以发动csrf攻击 重置密码的token(通过邮件发送);如果重置密码的...
jeecms明文密码传输漏洞
qq_36397267的博客
06-01 2142
关于jeecms明文密码传输漏洞修改:思路:由于jeecms密码加密采用md532位加密算法,是不可逆过程,数据库存放的是加密后的密码,登陆认证是将前台传入的密码加密后和数据库进行对比,所以往后台提交密码为加密后的密码的话,势必数据库密码也要加密一次,然后做对比就可以了。前台修改://密码框密码进行加密function passwordMd5(){    var x=document.getEle...
cookie安全配置相关漏洞修复
梁吉林的博客
09-23 2198
非会话cookie特征漏洞。表示在设置cookie的时候,没有设置相应的expire,有做安全扫描的时候,就有可能报出这个问题。修复这个问题,就需要设置相应的expire信息。php中需要修改配置文件php.ini,找到“session.cookie_lifetime”这一行,设置值为需要保存的时长,单位为秒。(默认值为0,表示浏览器关闭后销毁)完成配置修改后,需要重启web server服务使其生
关于checkmars的漏洞
zyc050707的博客
11-19 6372
1、Client Use Of JQuery Outdated Version 可将jQuery具体版本号删除; 2、Client Potential XSS 可对用户输入的进行过滤 如,编写过滤方法 String xssFilter(String value){ value = value.replaceall(">","&gt;"); ...
Burp Scanner Report
weixin_43304436的博客
12-20 345
1、使用application web 漏洞平台,除此之外还有一款类似的工具 叫做mulidata,其实mulidata功能更好一点。 2、配置之前的问题处理 安装之前要确认 自己之前是否安装过 Apache或者PHP解释器或者MySQL ,如果之前安装了单个版本的软件,需要卸载,或者检查是否运行,关闭也可以。 这里我做渗透测试使用的burp没使用如何破解 首先启动bur...
常见高危安全漏洞
weixin_34252090的博客
01-09 1296
credential management:sensitive information disclosure                                             凭证管理:敏感信息披露 insecure transport                                             安全运输 often misused        ...
ZooKeeper信息泄露漏洞(CVE-2014-085)
Exploit的小站~
05-10 2万+
 研究ZooKeeper时顺便看到的,危害级别比较低,居然上了CVE,目测Apache有干爹照顾。 对于node的访问,ZooKeeper提供了相应的权限控制,即使用访问控制列表ACL来进行实现。一个ACL只从属于一个特定的node,而对这个node的子节点是无效的,也就是不具有递归性。比如/app只能被10.10.10.1访问,/app/test为任何人都可以访问(world,anyon...
网站安全之密码明文传输漏洞
热门推荐
owen_william的博客
03-26 2万+
1.  说明问题      相信关注笔者的读者应该有看过笔者之前写过的一篇文章——《keytool的用法》.这篇博客是介绍了如何生成系统使用的证书。而这个证书是在https中使用的,对于https的地址我们不用担心密码在传输时出现漏洞,也就是被别人强制性拦截然后获取。它在传输时是会加密的。但是对于http的协议就没那么好了,如果你不做一些工作的话,密码在传输的时候,很容易被拦截工具拦截,然后就可
漏洞扫描
Xiayuyuren_Study的博客
06-13 7403
【主机漏洞】HTTP TRACE / TRACK Methods Allowed 1、影响说明 TRACE and TRACK are HTTP methods that are used to debug web server connections. TRACE 和 TRACK方法是 web 服务器连接的调试方法. Servers supporting this method are sub...
Java Web安全编程规范:防止漏洞与风险
"该文档是关于JSP(Java)安全编程规范的总结,由北京启明星辰信息安全技术有限公司于2013年9月编写。文档涵盖了从基本原则到常见编程威胁的各种安全措施,旨在帮助开发者避免代码漏洞并提高应用程序的安全性。" 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值