java开发手册之安全规约

于 2023-03-07 22:08:28 发布
阅读量354 收藏
点赞数
分类专栏: java开发手册 文章标签: java 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53954158/article/details/129392946
版权
文章强调了在开发过程中确保用户数据安全的重要性,包括实施权限校验以防止非法访问,数据脱敏处理以保护用户隐私,避免SQL注入攻击,以及防范CSRF和滥刷行为,要求对用户输入进行有效验证并采取防重放策略。
摘要由CSDN通过智能技术生成

安全规约

  1. 隶属于用户个人的页面或者功能必须进行权限控制校验。

说明:防止没有做水平权限校验就可随意访问、修改、删除别人的数据,比如查看他人的私信内容、修改他人的订单。

  1. 用户敏感数据禁止直接展示,必须对展示数据进行脱敏。

说明:查看个人手机号码会显示成:158****9119,隐藏中间 4 位,防止隐私泄露。

  1. 用户输入的 SQL 参数严格使用参数绑定或者 METADATA 字段值限定防止 SQL 注入禁止字符串拼接 SQL 访问数据库。
  2. 用户请求传入的任何参数必须做有效性验证。
    说明:忽略参数校验可能导致:
    1. page size 过大导致内存溢出
    2. 恶意 order by 导致数据库慢查询
    3. 任意重定向
    4. SQL 注入
    5. 反序列化注入
    6. 正则输入源串拒绝服务 ReDoS

说明:Java代码用正则来验证客户端的输入,有些正则写法验证普通用户输入没有问题,但是如果攻击人员使用的是特殊构造的字符串来验证,有可能导致死循环的结果。

  1. 禁止向 HTML 页面输出未经安全过滤或未正确转义的用户数据。
  2. 表单、AJAX 提交必须执行 CSRF 安全过滤。

说明:CSRF(Cross-site request forgery)跨站请求伪造是一类常见编程漏洞。对于存在CSRF 漏洞的应用/网站,攻击者可以事先构造好 URL,只要受害者用户一访问,后台便在用户不知情情况下对数据库中用户参数进行相应修改。

  1. 在使用平台资源,譬如短信、邮件、电话、下单、支付,必须实现正确的防重放限制,如数量限制、疲劳度控制、验证码校验,避免被滥刷、资损。
    说明:如注册时发送验证码到手机,如果没有限制次数和频率,那么可以利用此功能骚扰到其它用户,并造成短信平台资源浪费。
  2. 发贴、评论、发送即时消息等用户生成内容的场景必须实现防刷、文本内容违禁词过滤等风控策略。
小冻梨♬
关注
专栏目录
Java开发必知的web安全常识
lonelymanontheway的博客
01-20 1977
目录 安全 定义 攻击 攻击分类 常见的Web攻击 SQL注入攻击 XSS攻击 CSRF攻击 传输劫持 文件上传漏洞 访问控制 DDOS攻击 SYN攻击 ...
Java知识大全 - 十一、Java安全
LegendaryChen的博客
02-17 933
Java具有许多旨在提高应用程序安全性的功能和技术。以下是与 Java安全性相关的一些知识点:身份验证和授权:Java 提供了许多 API 和框架来在应用程序中实现身份验证和授权,包括 Java 身份验证和授权服务 (JAAS)、Java Security Manager 和 Spring Security。安全编码实践:编写安全代码对于确保应用程序不易受到攻击至关重要。Java 开发人员需要遵循安全编码实践,以避免常见的安全问题,例如 SQL 注入、跨站点脚本 (XSS) 和缓冲区溢出。
Web安全-ReDos正则表达式的拒绝服务攻击
道阻且长,行则将至。
07-12 3996
开发人员使用了正则表达式来对用户输入的数据进行有效性校验, 当编写校验的正则表达式存在缺陷或者不严谨时, 攻击者可以构造特殊的字符串来大量消耗服务器的系统资源,造成服务器的服务中断或停止。...
Java后台开发中常用规范文档说明
qq_41570752的博客
08-09 2882
Java后台开发中常用规范文档说明
四、安全规约
离开实践的理论是空洞的理论,没有理论指导的实践是盲目的实践
10-01 673
| 来源:阿里技术 微信公众号(id:ali_tech)。仅供于交流、学习、研究,勿用于商业用途! 1. 【强制】隶属于用户个人的页面或者功能必须进行权限控制校验。 说明:防止没有做水平权限校验就可随意访问、修改、删除别人的数据,比如查看他人的私信 内容、修改他人的订单。 2. 【强制】用户敏感数据禁止直接展示,必须对展示数据进行脱敏。 说明:查看个人手机号码会显示成:158
阿里规约-Java开发手册 v-1.7.0(嵩山版).rar
12-24
《阿里规约-Java开发手册 v-1.7.0(嵩山版)》是阿里巴巴集团为Java开发者制定的一套专业、严谨的编程规范。这份手册涵盖了从代码风格、命名规则、异常处理、多线程、数据库操作到系统设计等多个方面的最佳实践,...
阿里Java开发手册-黄山版
10-25
《阿里Java开发手册-黄山版》是一份由Java社区爱好者共同智慧结晶的开发规范文档,旨在提高Java开发者的综合素质和软件质量。这份手册经过多次实战检验,并不断优化,形成了一个全面且系统的指导体系。手册主要涵盖...
阿里java开发手册(黄山版)
03-30
最新的阿里java开发手册 内容概要: 1. 编程规约 2. 异常日志 3. 单元测试 4. 安全规约 5. MySQL数据库 6. 工程结构 7. 设计规约 附1: 版本历史 附2: 专有名词解释 附3: 错误码列表 能学到什么: 提出的规约...
阿里巴巴Java开发手册(华山版).pdf
最新发布
03-20
《阿里巴巴Java开发手册》通过一系列详尽的规约、建议和示例,为Java开发者提供了宝贵的指南。它不仅涵盖了基本的编程技巧和最佳实践,还深入探讨了高级主题,如并发控制、数据库管理和软件架构设计。遵循这些指南...
Java开发手册(黄山版).pdf
02-03
安全规约Java 开发手册(黄山版)的第四个维度,涵盖了安全规约的基本原则、安全规约的实现方法、安全规约的优点等。 1. 安全规约的基本原则 安全规约的基本原则是手册的核心部分,包括安全规约的定义、安全...
regexploit:查找容易受到ReDoS攻击的正则表达式(正则表达式拒绝服务
03-19
反潜 查找容易受到正则表达式拒绝服务(ReDoS)影响的正则表达式。 许多默认正则表达式解析器具有无限的最坏情况复杂度。当出现匹配的输入字符串时,正则表达式匹配可能很快。但是,某些不匹配的输入字符串会使正则表达式匹配器陷入疯狂的回溯循环中,并且需要花费很多时间来处理。这可能会导致拒绝服务,因为CPU会在尝试匹配正则表达式时卡住。 该工具旨在: 查找容易受到ReDoS攻击的正则表达式 举例说明将导致灾难性回溯的恶意字符串 最坏情况下的复杂性 这反映了正则表达式匹配器的回溯过程相对于输入字符串长度的复杂性。 这里的三次复杂度意味着,如果字符串的易受攻击的部分的长度加倍,则执行时间应大约长8倍(2 ^ 3)。对于具有加星标的指数ReDoS,例如(a*)*$将使用一个模糊系数,其复杂度将大于10。 为了可扩展性,除非允许真正的巨型弦作为输入,否则通常需要立方复杂度或更高。 例子 运行regexpl
一条正则表达式引起的拒绝服务
weixin_30315905的博客
04-04 438
什么是正则表达式? 正则表达式是对字符串操作的一种逻辑公式,就是用事先定义好的一些特定字符、及这些特定字符的组合,组成一个“规则字符串”,这个“规则字符串”用来表达对字符串的一种过滤逻辑。 正则表达式有什么作用及好处? 给定一个正则表达式和另一个字符串,我们可以达到如下的目的: 1. 给定的字符串是否符合正则表达式的过滤逻辑(称作“匹配”): 2. 可以通过正则表达式,从...
java入职学习一之编码规范
Yzq12312的博客
12-02 1436
编码规范 好的编码规范可以尽可能的减少一个软件的维护成本,并且几乎没有任何一个软件,在其整个生命周期中,均由最初的开发人员来维护。 好的编码规范可以改善软件的可读性,可以让开发人员尽快而彻底地理解新的代码。 好的编码规范可以最大限度的提高团队开发的合作效率。 长期的规范性编码还可以让开发人员养成好的编码习惯,甚至锻炼出更加严谨的思维。 安全规约 通过学习阿里巴巴的《阿里巴巴Java开发手册》和公司视频讲解,返现这七大强制约定和一个推荐约定的对于一个开发人员的良好编码习惯和逻辑思维有着重要的启发和引导作用
Java开发手册安全规约安全规约
fangdengfu123的博客
04-13 877
【强制】隶属于用户个人的页面或者功能必须进行权限控制校验。 说明:防止没有做水平权限校验就可随意访问、操作别人的数据,比如查看、修改别人的订单。 【强制】用户敏感数据禁止直接展示,必须对展示数据脱敏。 说明:查看个人手机号码会显示成:158****9119,隐藏中间 4 位,防止隐私泄露。 【强制】用户输入的 SQL 参数严格使用参数绑定或者 METADATA 字段值限定,防止
阿里巴巴Java开发手册(五)——安全规约
分享技术,传播知识!
05-31 348
阿里巴巴Java开发手册(五)——安全规约五、安全规约 五、安全规约 1、【强制】隶属于用户个人的页面或者功能必须进行权限控制校验。 说明:防止没有做水平权限校验就可随意访问、操作别人的数据,比如查看、修改别人的订单。 2、【强制】用户敏感数据禁止直接展示,必须对展示数据脱敏。 说明:查看个人手机号码会显示成:158****9119,隐藏中间4位,防止隐私泄漏。 3、【强制】用户输入的SQL参数严...
JavaWeb 项目安全问题及其解决方案
sudo_Shutdown的专栏
08-01 7532
1.弱口令漏洞 解决方案:最好使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码,应存储MD5加密后的密文,由于目前普通的MD5加密已经可以被破解,最好可以多重MD5加密,或者多种加密方式叠加组合。 2.未使用用户名及密码登录后台可直接输入后台URL登录系统。 解决方案:通过配置filter来过滤掉无效用户的连接请求。 3.JSP页面抛出的异常可能暴露程序信息。有经验的
Java(web)项目安全漏洞及解决方式【面试+工作】
热门推荐
Java帮帮
05-13 2万+
Java(web)项目安全漏洞及解决方式【面试+工作】一.安全性问题层次关系大家经常会听到看到很多很多有关安全性方面的信息,可以说形形色色,对于在网络安全方面不太专业的同志来说,有点眼花缭乱,理不出头绪。在这里,我来帮大家整理一下。  以我个人多年来从事Web安全方面的工作经验及国外一些权威安全机构对Web安全的层次性的理解,我们通常把它分为三个层次:1.网络安全。如防火墙、路由器、网络结构等相关...
Java安全架构概览
哎呦哥哥的博客
01-30 1万+
介绍 Java平台在设计的时候就着重与安全方面,在Java核心设计中,Java语言本身就是类型安全的,并且提供了自动垃圾收集机制,用于增强代码的健壮性,类在加载时需要被验证,用于保证只有合法的Java代码会被执行。 初始的Java平台创建了一个安全的运行环境,用于执行那些可能不被信任的代码,例如从公共网络上下载下来的Java applets。随着平台的成长以及部署范围的扩展,Java安全体系结
Java安全开发注意事项
qq_42302684的博客
03-16 5290
互联网安全架构设计前言一、如何防御xss攻击?二、抓包如何防止篡改数据?三、对接口实现加密四、相关安全架构设计方案说明 前言 本文是对Java开发安全的架构设计。 一、如何防御xss攻击? 攻击场景说明:在客户端发起请求时,如果URL的请求参数被篡改为网页脚本的话,而且后台没有对参数做处理的话,在当前页面中会受到恶意攻击。 如何解决:在后台编写一个过滤器,对后台接收到的请求参数做过滤处理。 代码说明: @Component @WebFilter public class XssFilter imple
阿里巴巴Java开发手册:编程规约安全指南
"阿里巴巴Java开发手册(正式版)"是一份由阿里巴巴集团技术团队编制的、面向Java开发者的编码规范文档,旨在提升软件质量和开发效率。手册涵盖了编程规约、异常日志规约、MySQL规约、工程规约安全规约五大主要部分...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小冻梨♬

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值