JAVA代码审计业务安全Checklist

最新推荐文章于 2022-02-09 16:17:05 发布
最新推荐文章于 2022-02-09 16:17:05 发布
阅读量1k 收藏 4
点赞数
分类专栏: JAVA代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39997829/article/details/109533238
版权
类别测试项
认证鉴权登录密码是否加密
是否可猜解用户名
是否可批量注册用户
是否存在验证码
验证码有效性
是否登录会话固定
会话ID是否足够复杂
注销功能是否有效
登录身份校验算法是否可逆
修改密码处是否验证旧密码
Cookie中是否存在敏感信息
信息泄露是否存在中间件错误页面
是否暴露异常处理报错信息
是否存在源代码泄露
源代码注释信息
是否存在用户敏感信息明文传输
文件I/O是否存在任意文件上传
是否存在任意文件下载
是否存在文件包含漏洞
数据验证是否存在反射型XSS
是否存在存储型XSS
是否存在DOM型的XSS
是否存在SQL注入漏洞
是否存在命令执行漏洞
是否存在URL跳转漏洞
是否http头CRLF注入
是否存在SSRF漏洞
是否存在跨站请求伪造漏洞
逻辑流程是否存在横向越权
是否存在垂直越权
是否存在逻辑绕过
是否存在未授权访问
组件安全是否存在中间件组件漏洞
是否开发组件漏洞
接口安全是否存在短信炸弹漏洞
是否存在邮件炸弹漏洞
是否存在微信推送炸弹漏洞
其他是否存在危险的HTTP方法
是否CORS配置不当
是否能存在HOST攻击
是否存在接口请求未鉴权
Java代码审计前置知识——SpringBoot基础
m0_61506558的博客
10-29 1505
(一)SpringBoot简介(一)SpringBoot简介1.1 回顾什么是SpringSpring是一个开源框架,2003 年兴起的一个轻量级的Java 开发框架,作者:Rod Johnson。1.2 Spring是如何简化Java开发的为了降低Java开发的复杂性,Spring采用了以下4种关键策略:1、基于POJO的轻量级和最小侵入性编程,所有东西都是bean;2、通过IOC,依赖注入(DI)和面向接口实现松耦合;3、基于切面(AOP)和惯例进行声明式编程;
Java Web安全审计实战
最新发布
悦分享
01-24 222
项目对象模型或POM是Maven的基本工作单元。它是一个XML文件,其中包含有关Maven用于构建项目的项目和配置详细信息。它包含大多数项目的默认值。示例是构建目录,即target;这是源目录src/main/java;测试源目录src/test/java;等等。POM已从Maven 1中的project.xml重命名为Maven 2中的pom.xml。而不是具有包含可执行目标的maven.xml文件,目标或插件现在已在pom.xml中配置。执行任务或目标时,Maven会在当前目录中查找POM。
Java 编程规范CheckList
04-11
Java 编程规范CheckList,以表格的形式逐条列出Java编程中应该注意的地方。
Java Code Review Checklist
hicarl的专栏
06-21 587
Java Code Review Checklist 06.20.2014 3 inShare The Enterprise Integration Zone is brought to you in partnership with MuleSoft, makers of the #1 ESB. Learn m
java代码审计checklist
糖小喵
05-09 1406
业务安全常见问题 业务层的安全问题集中在业务逻辑和越权问题上,我们在代码审计的过程中尽可能的去理解系统的业务流程以便于发现隐藏在业务中的安全问题。 业务层中常见的安全问题Checklist 用户登陆、用户注册、找回密码等功能中密码信息未采用加密算法。 用户登陆、用户注册、找回密码等功能中未采用验证码或验证码未做安全刷新(未刷新Session中验证码的值)导致的撞库、密码爆破漏洞。 找回密码逻辑问题(如:可直接跳过验证逻辑直接发包修改)。 手机、邮箱验证、找回密码等.
Java代码审计--checklist
重新启程
10-14 939
通常我喜欢把代码审计的方向分为业务安全问题、代码实现和服务架构安全问题,。 1. 业务安全常见问题 业务层的安全问题集中在业务逻辑和越权问题上,我们在代码审计的过程中尽可能的去理解系统的业务流程以便于发现隐藏在业务中的安全问题。 1.1 业务层中常见的安全问题Checklist 用户登陆、用户注册、找回密码等功能中密码信息未采用加密算法。 用户登陆、用户注册、...
代码审计工具Findbugs自动检查CheckList及配置方法
07-04
代码审计工具Findbugs是一个应用比较广泛的开源代码审计工具,如果开发团队利用好了这个工具,能够很大程度上提高软件产品的安全性。而且重要的是Free。 其中介绍内容包括: Malicious code vulnerability 恶意代码 Dodgy 小问题 Bad practice 不好的习惯 Bogus random noise 无效代码 Correctness 代码的正确性 Internationalization 国际化问题 Performance 性能问题 Security 安全性问题 Multithreaded currectness 线程问题 Experrimental 实验性问题
Java Web 代码审计浅析(框架基础,漏洞种类整理)
Alexz__的博客
09-20 1144
编译与反编译: 使用IntelliJ IDEA反编译Jar包 https://blog.csdn.net/Alexz__/article/details/108689610 用IJ IDEA将项目打成jar包 https://blog.csdn.net/Alexz__/article/details/108690242 JAVAweb: 分层架构:为了方便清楚包与包之间的业务逻辑关系 视图层(View 视图) 控制层(Controller...
代码审计-dubbo admin <=2.6.1远程命令执行漏洞
weixin_47208161的博客
02-12 6733
前置输入材料安全目标和需求架构分析供应链安全源代码审查依赖结构矩阵(Dependency Structure Matrices,DSM)数据流信任边界数据存贮威胁列表otter mana...
JAVA审计学习笔记
ai_64的博客
04-24 858
前言: 代码审计涉及知识面较广,一方面要提高自身代码掌控的能力, 另一方面要多总结一些常用的高效审计技巧。 自动化的工具给出可能存在的缺陷清单,人工审计弥补工具的不足。 工具准备: IDEA、 Eclipse、 Sublime Text、 Fortify SCA(基于源代码)、 Findbugs(基于字节码) 工作环境: 1.甲方公司审计专岗, 一般项目数量都比较多,有自己定制的SDL规范扫描...
交易业务相关安全checklist.xlsx
04-06
主要是针对金融交易方面的业务安全做的一个checklist,不包括通常意义上的Web安全如:SQL注入等
《代码大全》里核心的部分checklist整理
Liigo's blog
08-16 5732
作者:蛙蛙王子。为了更好的评估代码写的哪里有问题,我把《代码大全》里核心的部分checklist整理出来了,大家可以大概过一遍,不一定每写完一个程序都要一条一条的去检查,但心里应该有这么一张检查表,在写代码和review代码时自然而然的想起来。转载自 http://www.cnblogs.com/onlytiancai/archive/2010/05/30/1747556.html 设计
业务安全测试checklist
cynthrial的博客
10-29 588
业务安全测试checklist 转载自某学习群的ppt,方便后面查询参考
java checklist_Java API设计CheckList
weixin_42512699的博客
02-13 210
API设计原则:正确、好名、易用、易学、够快、够小。但我们从来不缺原则,〜〜〜Interface1.The Importance of Being Use Case Oriented,一个接口应当是一组方法的集合,方法是否能放在一起、最重要的依据是通过用测和使用场景去判断。更具体地是The Input Params Oriented,输入参数一定与接口相关。2.you can't know wha...
代码Review CheckList
aaaassss602的博客
02-09 565
通用检查 目录、结构是否合理,是否满足高内聚低耦合? 是否符合代码分层? 是否遵循经典的设计原则和设计思想? 设计模式是否得当?是否存在过度设计? 代码是否易扩展? 新增功能是否容易实现? 代码是否可以复用? 是否复用了已有的项目代码或类库?是否有重复造轮子? 代码是否易测试?单元测试是否覆盖各种正常或异常情况? 代码是否符合编码规范?安全规范? 检查工具 关注点 关注方法命名、入参及返回(NPE) 关注控制语句 关注日志打印、异常处理 关注并发处理 第三方依赖 成熟稳定 可信赖 开源协议
Java API设计CheckList
weixin_30625691的博客
12-18 165
Java API设计CheckList API设计原则:正确、好名、易用、易学、够快、够小。但我们从来不缺原则,〜〜〜 Interface 1.The Importance of Being Use Case Oriented,一个接口应当是一组方法的集合,方法是否能放在一起、最重要的依据是通过用测和使用场景去判断。更具体地是The Inp...
Java API Design Checklist
张仁阳专栏
11-24 1803
 转载 There are many different rules and tradeoffs to consider during Java API design. Like any complex task, it tests the limits of our attention and memory. Similar to the pilots’ pre-flight check
代码检视清单
weixin_30446197的博客
04-30 669
代码检视时需要关注的内容常规项 代码能够工作么?它有没有实现预期的功能,逻辑是否正确等。 所有的代码是否简单易懂? 代码符合你所遵循的编程规范么?这通常包括大括号的位置,变量名和函数名,行的长度,缩进,格式和注释。 是否存在多余的或是重复的代码? 代码是否尽可能的模块化了? 是否有可以被替换的全局变量? 是否有被注释掉的代码? 循环是否设置了长度和正...
代码评审Checklist:C/C++/Java开发必备
资源摘要信息:"代码评审检查表checklist(c_c++_java)" 1. 检查代码规范和一致性 - 代码风格是否符合编程语言标准(例如,C/C++的ANSI标准,Java的Google Java风格指南等) - 变量命名是否遵循驼峰命名法、下划线...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值