JAVA代码审计业务安全Checklist

最新推荐文章于 2022-11-13 08:35:00 发布
最新推荐文章于 2022-11-13 08:35:00 发布
阅读量873 收藏 4
点赞数
分类专栏: JAVA代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39997829/article/details/109533238
版权
类别测试项
认证鉴权登录密码是否加密
是否可猜解用户名
是否可批量注册用户
是否存在验证码
验证码有效性
是否登录会话固定
会话ID是否足够复杂
注销功能是否有效
登录身份校验算法是否可逆
修改密码处是否验证旧密码
Cookie中是否存在敏感信息
信息泄露是否存在中间件错误页面
是否暴露异常处理报错信息
是否存在源代码泄露
源代码注释信息
是否存在用户敏感信息明文传输
文件I/O是否存在任意文件上传
是否存在任意文件下载
是否存在文件包含漏洞
数据验证是否存在反射型XSS
是否存在存储型XSS
是否存在DOM型的XSS
是否存在SQL注入漏洞
是否存在命令执行漏洞
是否存在URL跳转漏洞
是否http头CRLF注入
是否存在SSRF漏洞
是否存在跨站请求伪造漏洞
逻辑流程是否存在横向越权
是否存在垂直越权
是否存在逻辑绕过
是否存在未授权访问
组件安全是否存在中间件组件漏洞
是否开发组件漏洞
接口安全是否存在短信炸弹漏洞
是否存在邮件炸弹漏洞
是否存在微信推送炸弹漏洞
其他是否存在危险的HTTP方法
是否CORS配置不当
是否能存在HOST攻击
是否存在接口请求未鉴权
安全大哥
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
代码安全审计
AI
07-08 347
什么是代码安全审计代码安全审计是指有开发和安全经验的人员,通过阅读开发文档和源代码,以自动化分析工具或者人工分析为手段,对应用程序进行深入分析,高效全面的发现系统代码的编码缺陷以及开发人员不安全的编程习惯,并指导开发人员进行修复,保障应用系统的安全运行。ULULO代码审计重要场景。
代码大全》里核心的部分checklist整理
Liigo's blog
08-16 5550
作者:蛙蛙王子。为了更好的评估代码写的哪里有问题,我把《代码大全》里核心的部分checklist整理出来了,大家可以大概过一遍,不一定每写完一个程序都要一条一条的去检查,但心里应该有这么一张检查表,在写代码和review代码时自然而然的想起来。转载自 http://www.cnblogs.com/onlytiancai/archive/2010/05/30/1747556.html 设计
小明学习代码审计writeup
weixin_30609287的博客
07-18 405
小明学习代码审计writeup 题目来自hackinglab.cn 综合关 题目地址:http://lab1.xseclab.com/pentest6_210deacdf09c9fe184d16c8f7288164f/index.php 访问题目地址得到如下源码: Please Reset Your Password Then Get your flag! <a href="./rese...
【算法】————3、插入排序
Fly_鹏程万里
04-08 213
算法简介 插入排序(Insertion-Sort)的算法描述是一种简单直观的排序算法。它的工作原理是通过构建有序序列,对于未排序数据,在已排序序列中从后向 前扫描,找到相应位置并插入。插入排序在实现上,通常采用in-place排序(即只需用到O(1)的额外空间的排序),因而在从后向前扫描过程中,需要 反复把已排序元素逐步向后挪位,为最新元素提供插入空间。 算法描述和实现 一般来说,插入排序都...
业务安全测试关键点
Alluresec的博客
11-20 484
交易业务相关安全checklist.xlsx
04-06
主要是针对金融交易方面的业务安全做的一个checklist,不包括通常意义上的Web安全如:SQL注入等
金融科技SDL 安全设计checklist
04-11
金融科技SDL 安全设计checklist,输入验证,输出编码,异常处理,I/O操作,身份认证,短信验证码,图形验证码
代码审计工具Findbugs自动检查CheckList及配置方法
07-04
Findbugs是一款广受欢迎的开源代码审计工具,它在软件开发过程中发挥着重要的作用,能够帮助开发团队发现并修复潜在的漏洞和不良编程习惯,从而提高软件的安全性和稳定性。不仅如此,Findbugs的免费特性使得更多...
代码评审检查表checklist(c_c++_java)
06-24
这份"代码评审检查表(c_c++_java)"涵盖了C、C++和Java三种编程语言,旨在为开发者提供一个全面的参考框架。下面将详细讨论这份检查表可能涉及的关键知识点: 1. **命名规范**: - 类名、方法名、变量名应清晰、...
应用系统安全自检checkList
最新发布
04-16
应用系统安全自检checkList
代码Review CheckList
aaaassss602的博客
02-09 479
通用检查 目录、结构是否合理,是否满足高内聚低耦合? 是否符合代码分层? 是否遵循经典的设计原则和设计思想? 设计模式是否得当?是否存在过度设计? 代码是否易扩展? 新增功能是否容易实现? 代码是否可以复用? 是否复用了已有的项目代码或类库?是否有重复造轮子? 代码是否易测试?单元测试是否覆盖各种正常或异常情况? 代码是否符合编码规范?安全规范? 检查工具 关注点 关注方法命名、入参及返回(NPE) 关注控制语句 关注日志打印、异常处理 关注并发处理 第三方依赖 成熟稳定 可信赖 开源协议
项目提测CheckList通用版
热门推荐
进击的mayi
06-06 1万+
编写完善checklist目的 维护一套checklist,借鉴测试,较少常规测试和常规bug。 提测说明 新增模块 修改模块 影响范围 测试注意事项 前端: 界面控件标题是否正确 界面控件必填项检查(null,空格等) 下拉框选择项检查 文本输入框检查(最大最小字符数等长度限制) 输入合法性检查(文本OR数值,是否支持小数) 联动关系检查(地区等) 按钮功能是否实现(重置/取消...
Java代码审计--checklist
重新启程
10-14 826
通常我喜欢把代码审计的方向分为业务安全问题、代码实现和服务架构安全问题,。 1. 业务安全常见问题 业务层的安全问题集中在业务逻辑和越权问题上,我们在代码审计的过程中尽可能的去理解系统的业务流程以便于发现隐藏在业务中的安全问题。 1.1 业务层中常见的安全问题Checklist 用户登陆、用户注册、找回密码等功能中密码信息未采用加密算法。 用户登陆、用户注册、...
学习笔记-java代码审计-反序列化
人饭子的博客
11-13 847
Java代码审计-反序列化 0x00 漏洞挖掘 业务代码 简单来说,找readObject/readUnshared就好了 protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String baseStr...
java代码审计-基础语法篇
Shanfenglan's blog
04-12 407
文章目录前言1. 基础语法2. 构造函数 前言 java是一个解释型的语言,可跨平台执行。一个 Java 程序可以认为是一系列对象的集合,而这些对象通过调用彼此的方法来协同工作,每个java文件都是一个类,同一文件夹下可以互相调用其他文件下的类,不同文件夹下可以通过import命令进行导入。 java中没有析构函数,finalize是用来回收内存的。 1. 基础语法 大小写敏感:Java 是大小写敏感的。 类名:对于所有的类来说,类名的首字母应该大写。如果类名由若干单词组成,那么每个单词的首字母应该大写。
《编码checklist规范》--学习笔记
hzq_blog
05-23 3734
1. 排版
java开发checklist,Java API设计CheckList
weixin_29284201的博客
03-11 255
API设计原则:正确、好名、易用、易学、够快、够小。但我们从来不缺原则,〜〜〜Interface1.The Importance of Being Use Case Oriented,一个接口应当是一组方法的集合,方法是否能放在一起、最重要的依据是通过用测和使用场景去判断。更具体地是The Input Params Oriented,输入参数一定与接口相关。2.you can't know wha...
java checklist_Code Review CheckList-Java使用规范的一些思考
weixin_39722563的博客
02-16 205
1.每个java文件只包含一个public类或者借口保障了java文件的安全性,内部数据不会被外部数据所任意获得,如果只有一个public类也就说明不仅仅是你传进来的参数需要是一个数据库的映射类,你返回回去的参数也需要是一个映射类,而不能直接将各个属性值返回2.如果是一条语句过长,那么在折行之后应该缩进4个字符3.函数是用来完成功能的,而且这个功能单元越小越好,行数限制在200行以内,如果行数过多...
java心得--check、list、scroll、dialog
weixin_30951231的博客
05-16 206
1.选择组件 选择组件是指专门用于从多个条目中进行单选或多选操作的AWT组件。 µ 复选框和单选按钮 复选框提供两种状态:选中|未选中。java.awt 包中的Checkbox类用于建立复选框。 ü构造方法 public Checkbox() public Checkbox(String str) :复选框右边的标题文本 p...
安全设计checklist
06-22
安全设计checklist是指在进行产品或系统设计时,按照一系列标准和规范,对设计方案进行全面的安全性检查和评估。这样可以确保产品或系统在运行过程中不被攻击或利用漏洞,从而保护用户信息的安全和隐私。 安全设计...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值