java安全编码规范考试

已于 2023-03-12 15:33:44 修改
阅读量6.3k 收藏 13
点赞数 3
分类专栏: 其他 文章标签: java 编程语言 云安全 企业安全
于 2023-03-10 22:24:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43901882/article/details/106844743
版权
java安全编码规范考试

      整理不易,收点币!!     安全编码规范考试.md

下面对zip文件的安全解压缩描述,错误的是
A.zip文件解压时,可以使用entry.getSize()对解压缩文件进行文件大小判断
B.zip文件解压时,需通过边读文件内容边统计文件实际大小,对文件大小进行限制检查
C.zip文件解压时,需对解压缩的文件数量进行限制检查
D.zip文件解压缩时,需判断文件名称中是否存在…/这样的返回上层路径的情况
     
下面对Java反序列化的描述正确的是
A.Java反序列化时,目标class与预期class不一致时,会导致类型转换错误,所以即使反序列化不可信数
据也不会有安全风险
B.Java的反序列化操作,可以绕过对象构造函数的执行
C.对象序列化后,即使包含敏感数据也不会产生风险
D.jdk提供的序列化操作,会将Java对象序列化二进制流,可以有效防止信息泄露或恶意篡改

     部分判断:
在这里插入图片描述
     部分选择:
在这里插入图片描述
     部分多选:
在这里插入图片描述

做猪呢,最重要的是开森啦
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为java安全编码规范考试3.1.md
07-27
华为java安全编码规范考试3.1 血与泪整理除的答案,当前时间保证是最新的,基本所有题都能找到。有几题答案没写出来,但是写了所有的错误答案…………排除法
阿里巴巴编码规范 java 考试
binLi_Cheng的博客
05-28 3621
两套真题 1.第一套 单选1.KV结构的集合,在处理null值的存储上有细微的区别,下列哪些说法是正确的:A A .TreeMap的key不可以为null B .TreeMap的key可以为null C .ConcurrentHashMap的key可以为null D .ConcurrentHashMap的value可以为null 注释:HashMap的key/value均可以为null,但是TreeMap的key不能为空,value可以为空 多选 2.数组使用Arrays.asList转化为集合,下列说法哪
编码规范试题
qqyang_的博客
09-15 2176
21.关于代码注释,下列哪些说法符合《阿里巴巴Java开发手册》:ACD多选 A .所有的抽象方法(包括接口中的方法)必须要用javadoc注释。 B .所有的方法,包括私有方法,最好都增加注释,有总比没有强。 C .过多过滥的注释,代码的逻辑一旦修改,修改注释是相当大的负担。 D .我的命名和代码结构非常好,可以减少注释的内容。 22.关于checked/unchecked exception,下列哪些说法是正确的:BCD多选 A .继承java.lang.Erro...
Javaweb安全——Fastjson反序列化利用
weixin_43610673的博客
10-13 4113
JSON.parseObject 的底层调用的还是 JSON.parse 方法,只是在 JSON.parse 的基础上做了一个封装。在JSON序列化时开启 SerializerFeature.WriteClassName 选项,序列化出来的结果会在开头加一个 @type 字段,值为进行序列化的类名。反序列化时带有@type 字段的序列化数据会得到对应类型的实例化对象。漏洞的还是Fastjson的功能,此功能可以反序列化的时候人为指定类,然后在利用指定的反序列化器过程中,如果满足条件则会去反射调用方法,以串联
如何绕过Java的构造方法来创建实例
spidercoco的专栏
05-26 329
我所设计的绝大部分类,我都会关注它们的不可变性。要想获得不可变性需要这样做: [*] 使用构造方法来初始化所有的属性。 [*] 这些属性没有setter方法。 然而,这样的设计使得测试更加复杂甚至无法测试。为了能进行测试,你还需要一个public的无参构造方法。 其它需要无参构造方法的情况包括: [*] 序列化对象的反序列化。 [*] 子类中没有调用父类的构造函数。 ...
java反序列化
yanyuan904的专栏
04-13 1388
  之前介绍过java内置的序列化,今天总结下java的反序列化,主要介绍一点吧,它是怎么跳过构造函数生成对象的,当然跳过不是故意的,因为它本身实现就没依赖构造函数。比如我们定义了一个private的构造函数的bean,它序列化后的数据仍然可以反序列化出来。总之吧,反序列化不会触发构造函数的逻辑。   反序列化时调用链: objectInputStream.readObject()-> ...
反序列化函数绕过
since_2020的博客
08-05 631
__wakeup()方法绕过 函数作用: 与__sleep()函数相反,__sleep()函数,是在序序列化时被自动调用。__wakeup()函数,在反序列化时,被自动调用。 绕过方法: 当反序列化字符串,表示属性个数的值大于真实属性个数时,会跳过 __wakeup 函数的执行。 <?php class Name{ private $username = 'admin'; private $password = 100; } $a = new Name(); $str = seria
序列化与反序列化——作为Java开发,应该避开这些坑
程序员小明1024
02-11 173
文章目录 1.序列化与反序列化的概念 2.子类实现Serializable接口,父类没有实现,子类可以序列化吗? 3.类中存在引用对象,这个类对象在什么情况下可以实现序列化? 4.同一个对象多次序列化之间有属性更新,前后的序列化有什么区别? 1.序列化与反序列化的概念 先说说序列化和反序列化的概念 序列化:将对象写入到IO流中 反序列化:从IO流中恢复对象 Serializ...
可信科目二0517
qq_51581562的博客
05-17 1083
4.下列哪个场景可以使用java.util.Random类产生的随机数。13.常见的xml实体解析导致的安全风险有哪几种?15.输入校验不可以防止以下哪种漏洞?
java的反序列化操作 可以绕过对象_Weblogic 反序列化漏洞(CVE-2018-2628)漫谈
weixin_30419759的博客
02-28 274
[AppleScript] 纯文本查看 复制代码public class JRMPClient2 extends PayloadRunner implements ObjectPayload {public Activator getObject ( final String command ) throws Exception {String host;int port;int sep = co...
java编码规范考试题答案.doc
12-14
java编码规范考试题答案.doc
华为安全编码规范考试(含答案)-JAVA安全.md
08-14
华为安全编码规范考试(含答案)-JAVA安全.md
阿里巴巴编码规范基础技能认证考题分析(考题答案).rar
09-29
阿里巴巴Java编码规范基础技能认证考题分析(考题答案) “阿里巴巴编码规范”是阿里云大学基于《阿里巴巴Java开发手册》打造的认证,用于考察以及让开发者自查对规范的掌握程度。《阿里巴巴Java开发手册》是阿里内部...
软件设计师重点考点
12-08
1.7关系数据库规范化理论 106 1.8数据库保护 108 1.9数据仓库与分布式数据库 113 2.数据库重点和难点: 118 2.1 数据库管理系统(DBMS) 118 2.2 SQL语句 119 2.3 关系运算 119 2.4关系范式: 121 专题七:软件工程...
中软java编码规范考试_java编码规范考试题答案
weixin_34795681的博客
02-24 4134
中软java编码规范考试题满分答案B. 无SSL传输通道或者代价太高C. 敏感数据需要持久化长久保存D. 同一信任域内组件间传递13. 下列JDK中的API调用中若使用不当易遭致OS命令注入的是BA. http://www.wendangwang.comng.System.load()B. http://www.wendangwang.comng.Runtime.exec()C. http://w...
java编码规范试题_java编码规范考试题答案完整版.doc
weixin_39551996的博客
02-16 2346
一、单选题1. 如下关于集合类的描述错误的是 BA. 含有集合意义的属性命名,尽量包含其复数的意义B. 集合中的数据不需要释放,垃圾回收器会自动回收C. 集合必须指定模板类型D. 使用集合类时要设置初始化容量2. 关于线程以下说法错误的有BA. 新起一个线程,都要使用Thread.setName(“…”)设置线程名B. 在JDK1.5或更新的版本中,若字符串拼接发生在单线程环境,使用StringB...
java的反序列化操作 可以绕过对象_fastjson反序列化漏洞绕过方式有哪些?
weixin_35256987的博客
02-28 1580
序列化其实就是将对象转换为流,利于储存和传输的格式,反序列化就是跟序列化反过来,可以fastjson反序列化会有漏洞,大家要怎么去绕过这个漏洞呢?下面我们就给大家讲解一下。如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。漏洞防御:1、类的白名单校验机制:实际上原理很简单,就是对所...
java对象的序列化与反序列化
qq_34117495的博客
09-19 284
IO——对象的序列化和反序列化 一、概念 1、对象序列化,就是将Object转换成byte序列,反之叫对象的反序列化 2、序列化流(ObjectOutputStream),字节的过滤流 —— writeObject()方法 反序列化流(ObjectInputStream)—— readObject()方法 3、序列化接口(Serializable) 对象必须实现序列化接口,才能进行序列
java反序列化 构造函数_在Java中反序列化时是否调用对象中的构造函数?
weixin_42322512的博客
02-16 2041
Java中,序列化是一个概念,通过它我们可以将对象的状态写入字节流,以便我们可以通过网络(使用JPA和RMI等技术)传输它。序列化对象-确保该类实现了Serializable接口。创建一个FileOutputStream对象,该对象表示要将对象存储到的文件的文件(抽象路径)。通过传递上面创建的FileOutputStream对象来创建ObjectOutputStream 对象。使用writeOb...
gts java 通用编程规范考试
最新发布
12-26
gts (Google Technology Stack) Java 通用编程规范考试旨在测试开发人员对于使用Java进行编程时的规范性和最佳实践的掌握程度。考试要求考生熟悉和遵守Google推荐的编程规范,代码风格,以及常见的设计模式和技术栈。 在考试中,考生需要展示他们对于Java编程语言的熟练程度,以及在实际开发中如何遵循最佳的编程实践和规范。考试内容包括但不限于命名规范、代码结构、异常处理、注释规范、单元测试的编写、性能优化和安全性等方面。 通过参加这个考试,考生可以加深对于Java编程规范和最佳实践的理解,提高自己的编码质量和效率。同时,通过考试的学习和准备过程,考生还会更深入地了解Google技术栈在Java开发中的应用和推荐。 总之,gts Java 通用编程规范考试是一个很好的机会,让开发人员能够检验并提高他们在Java编程方面的能力和水平,也有助于更好地应用Google的编程规范和技术栈进行项目开发。希望所有参加考试的人都能够通过努力取得优异的成绩,成为一名优秀的Java开发人员。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值